近日,美国国土安全部发布警告称,Superfish可能会导致针对笔记本用户的SSL欺诈攻击。在此攻击中,远程攻击者可以读取加密的网络流量,并将流量从合法网站重定向到其他来源,从而实施欺诈。当国务院提出电脑bug时,就显得尤为重要和可怕,而全球最大的PC厂商联想刚刚在其笔记本产品中预装了这个程序。
早在2014年年中,联想就接到投诉,声称购买的笔记本电脑预装了Superfish,但联想当时表示,Superfish只是预装在联想的消费类产品中,技术完全基于上下文和图片,与用户行为无关。这项技术不会保存或跟踪用户的行为,记录用户的信息,知道用户的身份。然而,直到最近几名用户投诉,美国政府表示联想笔记本电脑用户应该删除广告软件,联想才意识到问题的严重性。
预装软件是操作系统的一种常见形式。无论是手机还是电脑,这样的预装软件通常都是从系统本身继承的,不能通过按叉或者拖到回收站来删除。预装软件的目的不是为了让系统更好用,而是为了更多的利润。对于用户来说,既然买了这个品牌的产品,就必须接受预优艾设计网_PS百科装的事实。正因为如此,联想笔记本中的Superfish非常难卸载。
事件发生后,联想迅速道歉,称自1月份以来,因大量投诉停止预装,并发布了卸载工具,可以帮助用户手动卸载Superfish。它还表示,它已经与迈克菲和微软合作,使用他们的工具和技术来隔离或删除Superfish软件和认证。让所有用户自动解决这个问题。
一个广告软件不是大问题,但一些专家证实,Superfish会篡改浏览器甚至exe文件来收集数据。它会自动颁发可信证书,可以劫持和入侵公共加密链接,为黑客发起中间人攻击铺平道路。
虽然作为一方,联想第一时间做出了回应,但美国Errata安全研究公司CEO Robert Graham认为,此次事件的主要问题在于联想没有注意到自己系统中预装的软件是什么。
精彩评论