联想预载软件发现有泄密漏洞受影响电脑不在少数

全球最大电脑生产商联想Lenovo的手提电脑，被揭有严重安全漏洞。联想近月出货的一批手提电脑预载了一 款广告软件，原本作用是针对用户浏览内容打出同类商品的广告，但网络保安专家发现，该软件很易被黑客利用，窃取密码和各种敏感资料。联想日前表示已停止启 动该款软件，并提供永久移除软件的方法。
联想的技术部门主管Peter Hortensius接受华尔街日报的访问时表示，一旦当解除程式完成之后，联想将会向用户发出移除工具，可以将整个有问题的Superfish软件铲除。
据美国福布斯杂志报道，联想指该款叫Superfish的软件，任务是实时分析电脑用户上网期间看到的商品图片，然后打出“相同或类似、而价格可能较相宜的产品广告”。联想强调，Superfish并不追踪用户，也不搜集任何可用来辨认用户身份的资料。
报道指，预载Superfish的手提电脑数目不详，联想只说在去年9月至12月间，付运了“一些”有该软件的手提电脑。不过涉及的电脑数目估计不 少，事关联想在去年第四季付运超过1600万部手提及个人电脑。联想指今年1月已停止软件的启动，原因是用户投诉太多弹出式（pop-up）广告。
但报道指，Superfish带来的问题，绝不只是广告扰人，而是削弱网络保安。安全专家本周指出，Superfish“必预阻截网络数据流通，才能够加插广告”，这就如同窃听一样。
在网上传输敏感资料，包括网购、使用网上银行和电邮时，大都会用HTTPS（超文本传输安全协议）将资料加密。而要启动这功能，伺服器需有数码凭证，好让用户端认得伺服器端真实身份，但先决条件是核发凭证的机构是要受到信赖的颁发机构。
为了让Superfish运作，联想自我签发安全凭证，如此一来就可查看用户的网络交通和加入广告。这亦令Superfish当上了凭证颁发机构，能够决定信任哪些加密通讯。
令问题更严重的是，Superfish在每部电脑重复使用同一份安全凭证，因此黑客只要破解到Superfish用来签发安全凭证的“私钥”，就可 自行签发安全凭证；然后黑客就可在公共网络（例如在咖啡店内的公共WiFi），直闯使用同一网络的联想手提电脑，盗取敏感资料。尽管暂时未有证据显示有黑 客利用这漏洞来窃取资料，但日前有人已破解Superfish的私钥并在网上公布，意味确实有被窃资料风险。
设于美国加州矽谷和以色列的Superfish公司，暂未回应有关问题。而联想最初仍为此安全漏洞而强辩，称内部调查未发现“安全问题”，但其后已 把有关句子自声明中删除。发言人滕格勒日前承认：“我们并非说（预载Superfish）不是错误。它确有不足。”联想正检讨有关程序，并发布了移除该软 件和有关加密验证的详细指引。