联想预装的Superfish，远非广告这么简单

很多人曾批评 Facebook 用免费的产品吸引用户公开自己的隐私资料，并为广告主和自己牟利。相比之下，联想更过分一些。已经坐稳全球 PC 出货量头把交椅的联想，在售卖笔记本电脑的同时，还想通过预装软件和强行注入的广告获取利润。「联想背叛了它的消费者，置顾客的信息安全于不顾。」软件工程师 David Auerbach 在 Slate 上这样写道。

预装在联想笔记本中的 Superfish 软件来自一家以色列公司，它能通过一个自签名的 HTTPS 证书绕过杀毒软件的监控，影响用户访问的网站的所有加密数据，并在网页中注入广告内容。

据 Ars Technica 的报道 ，Superfish 带来的潜在威胁还不止这些。配合传输层证书，Superfish 可能被攻击者利用，通过伪造的银行、邮箱等网页获取用户名和密码等重要信息。在这种情况下，用户对假冒网站的举报和标记行为将是无效的。

没错，这就是最近常听到的「中间人攻击」。通常情况下，如果攻击实施者不具明显的恶意，只是单纯的收集信息，「中间人攻击」造成的结果是隐私泄露。比如，去年微软的 Outlook 邮件服务就曾遭遇过来源不明的攻击。而一旦这个安全漏洞被扩大、被不良黑客利用，将会给用户造成不可估量的经济损失。

Superfish 的安全威胁被广泛报道后，联想迅速提供了快速移除这款软件的方法 (点击这里查看)，并公布了 2014 年 9 月到 10 月期间预装 Superfish 的机器型号 (点击这里查看)。而微软动作也很快，在自家的 Windows Defender 软件中推送了安全证书的验证更新。被联想超越的全球老二惠普，也绝不放过这个机会，在 Twitter 上对其嘲讽一番。