Pages

Saturday, 21 February 2015

联想预载软件发现有泄密漏洞受影响电脑不在少数

全球最大电脑生产商联想Lenovo的手提电脑,被揭有严重安全漏洞。联想近月出货的一批手提电脑预载了一 款广告软件,原本作用是针对用户浏览内容打出同类商品的广告,但网络保安专家发现,该软件很易被黑客利用,窃取密码和各种敏感资料。联想日前表示已停止启 动该款软件,并提供永久移除软件的方法。
联想的技术部门主管Peter Hortensius接受华尔街日报的访问时表示,一旦当解除程式完成之后,联想将会向用户发出移除工具,可以将整个有问题的Superfish软件铲除。
据美国福布斯杂志报道,联想指该款叫Superfish的软件,任务是实时分析电脑用户上网期间看到的商品图片,然后打出“相同或类似、而价格可能较相宜的产品广告”。联想强调,Superfish并不追踪用户,也不搜集任何可用来辨认用户身份的资料。
报道指,预载Superfish的手提电脑数目不详,联想只说在去年9月至12月间,付运了“一些”有该软件的手提电脑。不过涉及的电脑数目估计不 少,事关联想在去年第四季付运超过1600万部手提及个人电脑。联想指今年1月已停止软件的启动,原因是用户投诉太多弹出式(pop-up)广告。
但报道指,Superfish带来的问题,绝不只是广告扰人,而是削弱网络保安。安全专家本周指出,Superfish“必预阻截网络数据流通,才能够加插广告”,这就如同窃听一样。
在网上传输敏感资料,包括网购、使用网上银行和电邮时,大都会用HTTPS(超文本传输安全协议)将资料加密。而要启动这功能,伺服器需有数码凭证,好让用户端认得伺服器端真实身份,但先决条件是核发凭证的机构是要受到信赖的颁发机构
为了让Superfish运作,联想自我签发安全凭证,如此一来就可查看用户的网络交通和加入广告。这亦令Superfish当上了凭证颁发机构,能够决定信任哪些加密通讯。
令问题更严重的是,Superfish在每部电脑重复使用同一份安全凭证,因此黑客只要破解到Superfish用来签发安全凭证的“私钥”,就可 自行签发安全凭证;然后黑客就可在公共网络(例如在咖啡店内的公共WiFi),直闯使用同一网络的联想手提电脑,盗取敏感资料。尽管暂时未有证据显示有黑 客利用这漏洞来窃取资料,但日前有人已破解Superfish的私钥并在网上公布,意味确实有被窃资料风险。
设于美国加州矽谷和以色列的Superfish公司,暂未回应有关问题。而联想最初仍为此安全漏洞而强辩,称内部调查未发现“安全问题”,但其后已 把有关句子自声明中删除。发言人滕格勒日前承认:“我们并非说(预载Superfish)不是错误。它确有不足。”联想正检讨有关程序,并发布了移除该软 件和有关加密验证的详细指引。