Superfish
“Superfish”是一款广告应用,这款广告程序会在用户首次激活新购买联想集团的时候自动安装,并且会以中间人的方式劫持SSL链接,同时在未经用户许可的情况下影响IE和Chrome等浏览器在谷歌(新浪微博)等搜索引擎上的搜索结果。Superfish公司创立于2006年,总部位于加利福尼亚州,后因安全问题而在2015年改名为JustVisual。
软件简介
Superfish公司位于加州帕洛阿尔托,该公司CEO阿迪-平哈斯(Adi Pinhas)在发送给TNW的电子邮件中表示,Superfish之所以会以中间人的方式劫持SSL链接主要是因为谷歌在去年默认开启了SSL连接协议,这就意味着Superfish无法继续在谷歌搜索结果中显示自己的广告内容。Superfish这款应用就本身而言本没有什么坏处,但它却有着一个比较致命的缺陷,那就是Superfish会为自己颁发一个可信赖证书,然后在系统中安装带有自己签名的CA证书,该证书允许这一软件对包括银行、Facebook网站等安全连接进行嗅探。这也就意味着,如果该软件出现安全漏洞将可能会造成更为严重的外部攻击。
相关事件
联想官方网站联想集团com2015年2月26日凌晨5点左右被黑客攻击,页面被劫持不断播放人物照片,背景音乐一直播放Breaking Free。怀疑本次攻击可能是不满联想刚刚出现的“插件门”事件。劫持联想官网的黑客可能来自Lizard Squad,攻击者只劫持lenovo.com域名,将其重新指向到自己控制的服务器。
本次攻击并没有侵入联想的内部网络,完全是针对外部基础设施进行的。最近联想收到指责,该公司的电脑捆绑了Superfish加密广告程序,引起了消费者不满,由于压力,联想方面最终决定删除这一软件,并且向消费者道歉。怀疑此次攻击就是因为对Superfish不满进行的,在人们对该软件充满质疑的时候,官网被攻击确实有些尴尬。联想在PC端中预装了名为“Superfish”的软件,从而向用户推送广告。这一消息引发了隐私保护人士的愤怒。因为 Superfish有可能被黑客利用,泄露用户个人信息。联想已就此事向用户道歉,并采取积极措施解决问题。从另一方面来讲,Superfish事件突出了微软坚持surface电脑研发的必要性,因为很多电脑制造商无法从硬件技术上取得突破,只好通过捆绑垃圾软件而获取利润。微软却不将捆绑垃圾软件视为盈利来源,而是在软件技术上取得突破,Surface电脑就是很好的证明。
在用户发现这家全球最大PC制造商预装了Superfish广告软件,并将其隐藏在用户和杀毒软件难以发现的地方后,舆论哗然。这款广告软件虽然只是为了给用户发送精准广告,但达成这一目的的方法却是劫持网站用来与浏览器建立安全连接的授信证书。Superfish的这种做法可能导致用户的电脑被黑客攻击。Superfish并没有作出回应,但联想上周发布了自动删除工具,帮助用户从联想产品中彻底删除Superfish,但用户和安全研究人员表示,这似乎仍然不足以挽回局势,人们今后难以继续信任联想。2015年2月25日上午消息,联想集团CTO彼得·霍腾休斯(Peter Hortensius)就预装Superfish一事接受了《纽约时报》专访,就此事发生的原因做出了解释,并公开道歉,还透露了该公司的一些解决方案。
联想迅速公布了如何删除该软件的方法,引导用户卸载Superfish以及如何删除安全证书,步骤实际上相当简单,大约只需要几分钟就可以完成,大多数受影响的联想计算机生产与2014年9月和12月,型号如下:
G系列:G410,G510,G710,G40-70,G50-70,G40-30,G50-30,G40-45,G50-45
U系列:U330P,U430P,U330Touch,U430Touch,U530Touch
Y系列:Y430P,Y40-70,Y50-70
Z系列:Z40-75,Z50-75,Z40-70,Z50-70
S系列:S310,S410,S40-70,S415,S415Touch,S20-30,S20-30Touch
Flex系列:14D的Flex2,15D的Flex2,14的Flex2,15的Flex2,14的Flex2(BTM)的Flex2 15(BTM),Flex的10
MIIX系列:MIIX2-8,MIIX2-10,MIIX2-11
YOGA系列:YOGA2Pro-13,YOGA2-13,YOGA2-11BTM,YOGA2-11HSW
E系列:E10-30
联想还宣布将会向受影响用户提供保安软件,并承诺未来推出的新电脑上只会预载保安软件和一些必要的驱动程式。资安专家建议购买联想产品者“重新安装Windows系统”。2017年9月,联想与美国联邦贸易委员会(FTC)就此事引发的集体诉讼达成和解,同意支付350万美元,并且在未来预装软件前须征得消费者同意。