作者
香港特约记者 甄树基
全球最大电脑生产商联想Lenovo的手提电脑,被揭有严重安全漏洞。联想近月出货的一批手提电脑预载了一 款广告软件,原本作用是针对用户浏览内容打出同类商品的广告,但网络保安专家发现,该软件很易被黑客利用,窃取密码和各种敏感资料。联想日前表示已停止启 动该款软件,并提供永久移除软件的方法。
联想的技术部门主管Peter Hortensius接受华尔街日报的访问时表示,一旦当解除程式完成之后,联想将会向用户发出移除工具,可以将整个有问题的Superfish软件铲除。全球最大电脑生产商联想Lenovo的手提电脑,被揭有严重安全漏洞。联想近月出货的一批手提电脑预载了一 款广告软件,原本作用是针对用户浏览内容打出同类商品的广告,但网络保安专家发现,该软件很易被黑客利用,窃取密码和各种敏感资料。联想日前表示已停止启 动该款软件,并提供永久移除软件的方法。
据美国福布斯杂志报道,联想指该款叫Superfish的软件,任务是实时分析电脑用户上网期间看到的商品图片,然后打出“相同或类似、而价格可能较相宜的产品广告”。联想强调,Superfish并不追踪用户,也不搜集任何可用来辨认用户身份的资料。
报道指,预载Superfish的手提电脑数目不详,联想只说在去年9月至12月间,付运了“一些”有该软件的手提电脑。不过涉及的电脑数目估计不 少,事关联想在去年第四季付运超过1600万部手提及个人电脑。联想指今年1月已停止软件的启动,原因是用户投诉太多弹出式(pop-up)广告。
但报道指,Superfish带来的问题,绝不只是广告扰人,而是削弱网络保安。安全专家本周指出,Superfish“必预阻截网络数据流通,才能够加插广告”,这就如同窃听一样。
在网上传输敏感资料,包括网购、使用网上银行和电邮时,大都会用HTTPS(超文本传输安全协议)将资料加密。而要启动这功能,伺服器需有数码凭证,好让用户端认得伺服器端真实身份,但先决条件是核发凭证的机构,是要受到信赖的凭证颁发机构。
为了让Superfish运作,联想自我签发安全凭证,如此一来就可查看用户的网络交通和加入广告。这亦令Superfish当上了凭证颁发机构,能够决定信任哪些加密通讯。
令问题更严重的是,Superfish在每部电脑重复使用同一份安全凭证,因此黑客只要破解到Superfish用来签发安全凭证的“私钥”,就可 自行签发安全凭证;然后黑客就可在公共网络(例如在咖啡店内的公共WiFi),直闯使用同一网络的联想手提电脑,盗取敏感资料。尽管暂时未有证据显示有黑 客利用这漏洞来窃取资料,但日前有人已破解Superfish的私钥并在网上公布,意味确实有被窃资料风险。
设于美国加州矽谷和以色列的Superfish公司,暂未回应有关问题。而联想最初仍为此安全漏洞而强辩,称内部调查未发现“安全问题”,但其后已 把有关句子自声明中删除。发言人滕格勒日前承认:“我们并非说(预载Superfish)不是错误。它确有不足。”联想正检讨有关程序,并发布了移除该软 件和有关加密验证的详细指引。
from RFI http://cn.rfi.fr/%E4%B8%AD%E5%9B%BD/20150221-%E8%81%94%E6%83%B3%E9%A2%84%E8%BD%BD%E8%BD%AF%E4%BB%B6%E5%8F%91%E7%8E%B0%E6%9C%89%E6%B3%84%E5%AF%86%E6%BC%8F%E6%B4%9E%E5%8F%97%E5%BD%B1%E5%93%8D%E7%94%B5%E8%84%91%E4%B8%8D%E5%9C%A8%E5%B0%91%E6%95%B0/