聯想在PC中預裝廣告軟體 引發隱私保護擔憂
- 發佈時間:2015-02-21 08:20:52 來源:環球網 責任編輯:王磊
北京時間2月20日上午消息,本週有報道稱,聯想在PC中預裝了名為“Superfish”的軟體,從而向用戶發送廣告。這一消息引發了隱私保護人士的憤怒,而許多人已在Twitter上表示了不滿。此外,Superfish也有可能被駭客利用,導致無辜的網際網路用戶受害。
以下是關於Superfish的一些常見問題:
Superfish是否惡意軟體?
聯想不希望人們將Superfish稱作惡意軟體,不過這款軟體已被認為是一種惡意軟體,或者説廣告推送工具。Superfish同時也是這款軟體的開發商的名字,該公司位於特拉維夫和帕洛阿爾托。該公司宣稱“開發全球最先進、最靈活的視覺搜索技術”,並在《福布斯》雜誌美國最具前景公司的排名中位居第64。
從我們目前已知的資訊,聯想通過Superfish向谷歌搜索結果中插入廣告。很明顯,這是一種賺錢的好方法。
早在2014年年中,就有用戶對Superfish進行了投訴。而隨後,進行投訴的用戶越來越多。1月23日,聯想的一名人士給出了以下説法,試圖平息用戶的不滿:“Superfish只被預裝至聯想的消費類産品,這一技術以可視的方式幫助用戶搜尋併發現産品。該技術能實時分析網上的圖片,展示同樣或類似、但價格較低的産品,在用戶不知道物品名稱,以及如何通過文字來描述的情況下幫助用戶搜索圖片。”
“Superfish技術完全基於上下文和圖片,而與用戶行為無關。該技術不會保存或跟蹤用戶行為,也不會記錄用戶資訊,不會知道用戶的身份。用戶沒有被追蹤,也沒有被再瞄準。每一次會話都是獨立的。在首次使用Superfish時,用戶將會看到使用條款和隱私保護政策。如果不接受這些條款,那麼Superfish將被禁用。”
這些看起來都沒有太大問題,但隱私保護人士擔心,Superfish有可能會干擾用戶的流量,被用於另一些不可告人的目的。對於未加密流量,即通過Http而不是Https協議傳輸的流量,Superfish可以向網頁中注入JavaScript腳本。
此外用戶還擔心,Superfish會干擾用戶的加密流量,從而在用戶電腦上展示廣告。在資訊安全領域,這被稱作“中間人”攻擊。如果聯想這樣做,那麼將對外界所知的“證書鏈”造成破壞。許多網站會向來訪的用戶提供證書,以證明這些是合法網站,不存在惡意內容。
對於Superfish,有報道稱,聯想使用了自簽名證書,使其看起來是可信的。從理論上來説,Superfish將可以查看用戶流量,並以自己期望的方式對其進行修改。根據Errata Security的羅伯特·格雷厄姆(Robert Graham)的説法,這種方式使得Superfish獲得了根認證授權(root CA)。
資訊安全分析師安德里斯·林德(Andreas Lindh)表示:“這意味著,Superfish能從瀏覽器的角度為Facebook或谷歌,以及任何其他使用Https協議的網站生成合法的加密證書。”從隱私保護的角度來看,這樣做並不理想。聯想有可能濫用這樣的許可權,對PC用戶展開監控活動。
隨之而來的資訊安全問題
站在資訊安全的角度,最大的問題可能在於,惡意駭客有可能利用Superfish的加密方式,對其他用戶的流量造成干擾。類似地,21世紀00年代,新力曾在電腦上安裝工具,阻止用戶盜版其軟體,然而這給駭客留下了後門。
如果有人能提取Superfish給證書進行簽名的密鑰,同時與受害者PC處於同一內網,例如同一家咖啡店的公用WiFi網路,那麼可以對惡意軟體進行簽名,使惡意軟軟體順利運作在受害者的PC中。
格雷厄姆表示:“對所有電腦來説,這是同樣的根認證授權。這意味著,連接至同一WiFi熱點的駭客,或是在網際網路上進行刺探的情報機構,可以使用密鑰去干擾Superfish用戶的所有SSL加密連接。”而這將帶來嚴重的資訊安全問題。“因此,Superfish能對你進行‘駭客’活動,或是給其他人的駭客活動提供一個系統。”
儘管這樣的攻擊仍然比較麻煩,且應用場景受到限制,但如果攻擊者掌握了必要手段,並且知道聯想電腦的用戶更傾向於訪問哪些網站,那麼仍有可能獲取用戶的數據,包括銀行登錄資訊和電子郵件等。
哪些用戶會受到影響,以及如何應對
聯想目前已經將Superfish下線,並計劃提供“修復”。聯想一名發言人在電子郵件中表示:“從2015年1月開始,聯想已經從消費類系統的預裝包中移除了Superfish。與此同時,在當前的聯想電腦中,Superfish也被禁用。Superfish僅僅被預裝在部分消費類型號的電腦中,聯想將對關於Superfish的所有問題,以及新出現的問題進行徹查。”Superfish自身尚未對此做出回應。
根據該發言人的説法,聯想只在去年9月至12月發貨的某些消費類筆電中預裝了Superfish。Chrome和IE瀏覽器受到了影響,因為這些瀏覽器使用了Windows的可信證書列表。而儘管火狐瀏覽器有著自己的證書提供方,但電子前線基金會也發現,火狐瀏覽器用戶同時運作的Superfish證書曾多達4.4萬個。
如果希望了解自己是否受影響,那麼可以查看Windows的可信證書列表。用戶可以打開控制面板,搜索“證書”。這將打開管理員工具,以及相應的“管理電腦證書”選項。依次點擊“可信的根認證授權”選項和“證書”,用戶即可查看證書列表。如果看到有Superfish的證書存在,那麼你可能將受到影響。
即使用戶能找到這一軟體並卸載,問題也無法徹底解決,因為這樣的操作不會刪除證書。因此,如果擔心自己的電腦受到Superfish的影響,最好的辦法是備份系統內的資訊並重裝系統。
資訊安全專家特羅伊·亨特(Troy Hunt)表示:“我自己近期購買了新的聯想電腦,而所做的第一件事就是安裝純凈版Windows。只有通過這種方式,你才能確保不會有任何討厭的預裝軟體,而我也建議任何有此類擔心的用戶這樣去做。”(邱越)
- 股票名稱 最新價 漲跌幅