电脑爱好者之家

当前位置: 主页 > 技术知识库 >

联想电脑系统预装木马程序Superfish

时间:2015-02-23 02:11来源:未知 作者:机器AI 点击:
联想电脑系统预装木马程序Superfish,可劫持SSL安全链接。 国外媒体集中报道了 联想 集团在用户的新计算机上预装名为Superfish的adware,自发证书篡改用户搜索结果引发轩然大波,事发后,联想迅速公布了如何删除该软件的方法,引导用户卸载Superfish以及如何
联想电脑系统预装木马程序Superfish,可劫持SSL安全链接。

国外媒体集中报道了联想集团在用户的新计算机上预装名为Superfish的adware,自发证书篡改用户搜索结果引发轩然大波,事发后,联想迅速公布了如何删除该软件的方法,引导用户卸载Superfish以及如何删除安全证书,步骤实际上相当简单,大约只需要几分钟就可以完成,大多数受影响的联想计算机生产与2014年9月和12月,型号如下:

G系列:G410,G510,G710,G40-70,G50-70,G40-30,G50-30,G40-45,G50-45

U系列:U330P,U430P,U330Touch,U430Touch,U530Touch

Y系列:Y430P,Y40-70,Y50-70

Z系列:Z40-75,Z50-75,Z40-70,Z50-70

S系列:S310,S410,S40-70,S415,S415Touch,S20-30,S20-30Touch

Flex系列:14D的Flex2,15D的Flex2,14的Flex2,15的Flex2,14的Flex2(BTM)的Flex2 15(BTM),Flex的10

MIIX系列:MIIX2-8,MIIX2-10,MIIX2-11

YOGA系列:YOGA2Pro-13,YOGA2-13,YOGA2-11BTM,YOGA2-11HSW

E系列:E10-30

联想集团首席技术官彼得·霍尔登修接受采访,称Superfish并没有产生危害性的后果,认为证券分析师下“对用户安全相当大”的判断是属于反应过度。但承认联想“此举是犯了一个错误,会积极去面对”。

与此同时EFF今天则表示,联想并不只是用一种疯狂的方式注入广告,而是为用户安排了一个巨大的安全隐患。


联想电脑系统预装木马程序Superfish,可劫持SSL安全链接。讨论吧www.taoLun8.net
 

日前有媒体发现,在2014年9月到2015年1月期间购买的联想消费级笔记本电脑中被植入了一个名叫“Superfish”的广告应用。这款不请自来的广告程序会在用户首次激活新购买联想电脑的时候自动安装,并且会以中间人的方式劫持SSL链接,同时在未经用户许可的情况下影响IE和Chrome等浏览器在谷歌(微博)等搜索引擎上的搜索结果。

这款应用就本身而言本没有什么坏处,但它却有着一个比较致命的缺陷,那就是Superfish会为自己颁发一个可信赖证书,然后在系统中安装带有自己签名的CA证书,该证书允许这一软件对包括银行、Facebook网站等安全连接进行嗅探。这也就意味着,如果该软件出现安全漏洞将可能会造成更为严重的外部攻击

Superfish公司位于加州帕洛阿尔托,该公司CEO阿迪-平哈斯(Adi Pinhas)日前在发送给TNW的电子邮件中表示,Superfish之所以会以中间人的方式劫持SSL链接主要是因为谷歌在去年默认开启了SSL连接协议,这就意味着Superfish无法继续在谷歌搜索结果中显示自己的广告内容。

当TNW问及平哈斯Superfish是否为自己颁发了一个可信赖证书这个问题的时候,平哈斯并没有给出正面回应,仅仅是表示Superfish在安装的时候会跳出一个选择界面,而用户也完全可以选择拒绝同意Superfish的请求。

令人颇为沮丧的是,无论是平哈斯还是Superfish公司本身似乎都没有意识到此举会对终端用户的安全性造成多大的影响。

“我们昨天了解到了这一证书安装方面的潜在问题,而我们也对用户发现的这一潜在安全风险感到惊讶。”平哈斯说道。

平哈斯透露,目前有超过4000万的设备安装了Superfish,而Superfish和联想都对双方这一合作关系的前景感到兴奋,但他并未透露这一问题是否涉及到了联想之外的其他品牌设备。不过据TNW得到的消息称,该公司此前就曾收到过有关这一问题的用户抱怨。在另一方面,联想公司则正在进行危机公关,以尽可能减小此次事件的影响。

据悉,Superfish最早成立于2006年,在经过了四年的研发后才发布了自己的首款产品。去年,该公司刚刚开始进军全新的应用开发领域。应该说,Superfish在这一广告应用中所使用的技术是非常先进的,因为该应用内置的算法可以帮助用户找到和发现产品,并且可以在搜索引擎中对购物进行图片分析、搜索以找到更低的价格。但是,如果这一技术威胁到了用户安全的话,无论该技术多么先进恐怕都不会得到消费者的认可。

更让人难以接受的是,这家公司不仅在终端用户处创造了一个危险的安全漏洞,同时竟然还认为自己的做法是完全正确的。在此之前,联想和Superfish均表示这一应用的最终目的是改善用户的实际使用体验。

(责任编辑:机器AI)
织梦二维码生成器
顶一下
(2)
100%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容