联想在PC中预装广告软件 引发隐私保护担忧

创业邦  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  

导语:站在信息安全的角度,最大的问题可能在于,恶意黑客有可能利用Superfish的加密方式,对其他用户的流量造成干扰。

北京时间2月20日上午消息,本周有报道称,联想在PC中预装了名为“Superfish”的软件,从而向用户发送广告。这一消息引发了隐私保护人士的愤怒,而许多人已在Twitter上表示了不满。此外,Superfish也有可能被黑客利用,导致无辜的互联网用户受害。

以下是关于Superfish的一些常见问题:

Superfish是否恶意软件?

联想不希望人们将Superfish称作恶意软件,不过这款软件已被认为是一种恶意软件,或者说广告推送工具。Superfish同时也是这款软件的开发商的名字,该公司位于特拉维夫和帕洛阿尔托。该公司宣称“开发全球最先进、最灵活的视觉搜索技术”,并在《福布斯》杂志美国最具前景公司的排名中位居第64。

从我们目前已知的信息,联想通过Superfish向谷歌搜索结果中插入广告。很明显,这是一种赚钱的好方法。

早在2014年年中,就有用户对Superfish进行了投诉。而随后,进行投诉的用户越来越多。1月23日,联想的一名人士给出了以下说法,试图平息用户的不满:“Superfish只被预装至联想的消费类产品,这一技术以可视的方式帮助用户查找并发现产品。该技术能实时分析网上的图片,展示同样或类似、但价格较低的产品,在用户不知道物品名称,以及如何通过文字来描述的情况下帮助用户搜索图片。”

“Superfish技术完全基于上下文和图片,而与用户行为无关。该技术不会保存或跟踪用户行为,也不会记录用户信息,不会知道用户的身份。用户没有被追踪,也没有被再瞄准。每一次会话都是独立的。在首次使用Superfish时,用户将会看到使用条款和隐私保护政策。如果不接受这些条款,那么Superfish将被禁用。”

这些看起来都没有太大问题,但隐私保护人士担心,Superfish有可能会干扰用户的流量,被用于另一些不可告人的目的。对于未加密流量,即通过Http而不是Https协议传输的流量,Superfish可以向网页中注入JavaScript脚本。

此外用户还担心,Superfish会干扰用户的加密流量,从而在用户计算机上展示广告。在信息安全领域,这被称作“中间人”攻击。如果联想这样做,那么将对外界所知的“证书链”造成破坏。许多网站会向来访的用户提供证书,以证明这些是合法网站,不存在恶意内容。

对于Superfish,有报道称,联想使用了自签名证书,使其看起来是可信的。从理论上来说,Superfish将可以查看用户流量,并以自己期望的方式对其进行修改。根据Errata Security的罗伯特·格雷厄姆(Robert Graham)的说法,这种方式使得Superfish获得了根认证授权(root CA)。

信息安全分析师安德里斯·林德(Andreas Lindh)表示:“这意味着,Superfish能从浏览器的角度为Facebook或谷歌,以及任何其他使用Https协议的网站生成合法的加密证书。”从隐私保护的角度来看,这样做并不理想。联想有可能滥用这样的权限,对PC用户展开监控活动。

随之而来的信息安全问题

站在信息安全的角度,最大的问题可能在于,恶意黑客有可能利用Superfish的加密方式,对其他用户的流量造成干扰。类似地,21世纪00年代,索尼曾在电脑上安装工具,阻止用户盗版其软件,然而这给黑客留下了后门。

如果有人能提取Superfish给证书进行签名的密钥,同时与受害者PC处于同一内网,例如同一家咖啡店的公用WiFi网络,那么可以对恶意软件进行签名,使恶意软软件顺利运行在受害者的PC中。

格雷厄姆表示:“对所有计算机来说,这是同样的根认证授权。这意味着,连接至同一WiFi热点的黑客,或是在互联网上进行刺探的情报机构,可以使用密钥去干扰Superfish用户的所有SSL加密连接。”而这将带来严重的信息安全问题。“因此,Superfish能对你进行‘黑客’活动,或是给其他人的黑客活动提供一个系统。”

尽管这样的攻击仍然比较麻烦,且应用场景受到限制,但如果攻击者掌握了必要手段,并且知道联想电脑的用户更倾向于访问哪些网站,那么仍有可能获取用户的数据,包括银行登录信息和电子邮件等。

哪些用户会受到影响,以及如何应对

联想目前已经将Superfish下线,并计划提供“修复”。联想一名发言人在电子邮件中表示:“从2015年1月开始,联想已经从消费类系统的预装包中移除了Superfish。与此同时,在当前的联想电脑中,Superfish也被禁用。Superfish仅仅被预装在部分消费类型号的电脑中,联想将对关于Superfish的所有问题,以及新出现的问题进行彻查。”Superfish自身尚未对此做出回应。

根据该发言人的说法,联想只在去年9月至12月发货的某些消费类笔记本中预装了Superfish。Chrome和IE浏览器受到了影响,因为这些浏览器使用了Windows的可信证书列表。而尽管火狐浏览器有着自己的证书提供方,但电子前线基金会也发现,火狐浏览器用户同时运行的Superfish证书曾多达4.4万个。

如果希望了解自己是否受影响,那么可以查看Windows的可信证书列表。用户可以打开控制面板,搜索“证书”。这将打开管理员工具,以及相应的“管理计算机证书”选项。依次点击“可信的根认证授权”选项和“证书”,用户即可查看证书列表。如果看到有Superfish的证书存在,那么你可能将受到影响。

即使用户能找到这一软件并卸载,问题也无法彻底解决,因为这样的操作不会删除证书。因此,如果担心自己的电脑受到Superfish的影响,最好的办法是备份系统内的信息并重装系统。

信息安全专家特罗伊·亨特(Troy Hunt)表示:“我自己近期购买了新的联想电脑,而所做的第一件事就是安装纯净版Windows。只有通过这种方式,你才能确保不会有任何讨厌的预装软件,而我也建议任何有此类担心的用户这样去做。”

随意打赏

提交建议
微信扫一扫,分享给好友吧。