联想被爆出贩售的电脑中,出现间谍软件,让使用者曝露在 HTTPS 中间人攻击的风险。意味着骇客有办法看到你在浏览器中的资料,包括浏览的网站,甚至私密的资料如密码、银行帐密。影响范围至少包括联想卖出的电脑,在Windows 操作系统的 IE、Chrome、Safari。
这次联想被发现预装的间谍 Superfish,其实早在今年一月时就爆出来了。但当时以为只是一款会在浏览器浏览网页时插入广告的广告软件,如今却被发现这是一款间谍软件,会窃取使用者的浏览器中的私密资料。Superfish 会安装自行签署的 HTTPS 安全凭证,拦截使用者浏览的网站资讯。如果使用者连到需要 HTTPS 认证的网站,Supaerfish 会假冒是该网站的身份,让使用者以为连到正常的网站。
资安公司 Errata Security CEO Rob Graham 破解了 Superfish 的安全凭证,并且公布了私钥,现在任何都能在有安全凭证的机器上发动 HTTPS 中间人攻击,而这不过花了 Graham 三个小时的时间破解。
联想说一月时他们就与 Superfish 终止合作了,但是早先的机种仍旧有这款间谍软件。联想 CTO Peter Hortensius 承诺将会尽快推出工具,彻底清除这支恶意程式。目前在联想的客服网站已经有详细步骤叙述如何清除 Superfish。
相关连结
- Lenovo PCs ship with man-in-the-middle adware that breaks HTTPS connections [Updated]
- Lenovo installs adware on its computers that could let hackers steal private data
- Lenovo Is Breaking HTTPS Security on its Recent Laptops