最近,美国国土安全部发布了一条警示,表示Superfish有可能导致笔记本用户遭到SSL欺诈攻击。在这种攻击中,远程攻击者能够读取加密的网络流量,将流量从合法网站重定向至其他来源,从而进行欺诈。当一个电脑漏洞被国家部门提出来的时候,就显得特别重要和可怕了,而全球最大的PC商联想的笔记本产品中恰恰预装了这一程序。 早在2014年中期,联想就收到过投诉,称购买的笔记本电脑中预装了Superfish这款广告程序,但联想当时表示,Superfish只被预装至联想的消费类产品,技术完全基于上下文和图片,与用户行为无关。该技术不会保存或跟踪用户行为,也不会记录用户信息,不会知道用户的身份。但随着多名用户近期的投诉以及美国政府表示联想的笔记本电脑用户应该移除这个广告软件的时候,联想才意识到问题的严重性。 预装软件是操作系统中一个常见的形式,无论是手机还是电脑,通常这样的预装软件会继承在系统本身,不是长按点个叉子或者拖到回收站中就能够删除的,而预装的目的也并非让系统变得更好用,更多的是为了盈利考虑。对用户来讲,既然买了这个品牌的产品,就必须得接受预装这个事实。正因为如此,联想笔记本当中的Superfish很难被卸载。 事情发生之后联想迅速出面道歉,表示从一月开始因为大量投诉已经停止了预装,同时发布了卸载工具,可以帮助用户手动卸载Superfish。同时还表示已经与McAfee和微软合作,使用他们的工具和技术来隔离或删除Superfish软件及认证。让所有用户通过自动的方式就能解决这一问题。 一个广告软件本来不是什么大问题,不过有专家证实Superfish会篡改浏览器,甚至是exe文件来达到采集数据的目的。它会自动颁发一个可信证书,能够劫持和侵入公开加密链接,为黑客发动中间人攻击铺平道路。 虽然作为当事人,联想已经第一时间做出反应,但是美国Errata Security安全研究公司CEO Robert Graham则认为,这次事件最主要的问题在于联想根本不关注预装在自己系统中的软件到底是个什么。 |