北京時間2月20日上午消息，本週有報道稱，聯想在PC中預裝了名為“Superfish”的軟體，從而向用戶發送廣告。這一消息引發了隱私保護人士的憤怒，而許多人已在Twitter上表示了不滿。此外，Superfish也有可能被駭客利用，導致無辜的網際網路用戶受害。

　　以下是關於Superfish的一些常見問題：

　　Superfish是否惡意軟體？

　　聯想不希望人們將Superfish稱作惡意軟體，不過這款軟體已被認為是一種惡意軟體，或者説廣告推送工具。Superfish同時也是這款軟體的開發商的名字，該公司位於特拉維夫和帕洛阿爾托。該公司宣稱“開發全球最先進、最靈活的視覺搜索技術”，並在《福布斯》雜誌美國最具前景公司的排名中位居第64。

　　從我們目前已知的資訊，聯想通過Superfish向谷歌搜索結果中插入廣告。很明顯，這是一種賺錢的好方法。

　　早在2014年年中，就有用戶對Superfish進行了投訴。而隨後，進行投訴的用戶越來越多。1月23日，聯想的一名人士給出了以下説法，試圖平息用戶的不滿：“Superfish只被預裝至聯想的消費類産品，這一技術以可視的方式幫助用戶搜尋併發現産品。該技術能實時分析網上的圖片，展示同樣或類似、但價格較低的産品，在用戶不知道物品名稱，以及如何通過文字來描述的情況下幫助用戶搜索圖片。”

　　“Superfish技術完全基於上下文和圖片，而與用戶行為無關。該技術不會保存或跟蹤用戶行為，也不會記錄用戶資訊，不會知道用戶的身份。用戶沒有被追蹤，也沒有被再瞄準。每一次會話都是獨立的。在首次使用Superfish時，用戶將會看到使用條款和隱私保護政策。如果不接受這些條款，那麼Superfish將被禁用。”

　　這些看起來都沒有太大問題，但隱私保護人士擔心，Superfish有可能會干擾用戶的流量，被用於另一些不可告人的目的。對於未加密流量，即通過Http而不是Https協議傳輸的流量，Superfish可以向網頁中注入JavaScript腳本。

　　此外用戶還擔心，Superfish會干擾用戶的加密流量，從而在用戶電腦上展示廣告。在資訊安全領域，這被稱作“中間人”攻擊。如果聯想這樣做，那麼將對外界所知的“證書鏈”造成破壞。許多網站會向來訪的用戶提供證書，以證明這些是合法網站，不存在惡意內容。

　　對於Superfish，有報道稱，聯想使用了自簽名證書，使其看起來是可信的。從理論上來説，Superfish將可以查看用戶流量，並以自己期望的方式對其進行修改。根據Errata Security的羅伯特·格雷厄姆(Robert Graham)的説法，這種方式使得Superfish獲得了根認證授權(root CA)。

　　資訊安全分析師安德里斯·林德(Andreas Lindh)表示：“這意味著，Superfish能從瀏覽器的角度為Facebook或谷歌，以及任何其他使用Https協議的網站生成合法的加密證書。”從隱私保護的角度來看，這樣做並不理想。聯想有可能濫用這樣的許可權，對PC用戶展開監控活動。

　　隨之而來的資訊安全問題

　　站在資訊安全的角度，最大的問題可能在於，惡意駭客有可能利用Superfish的加密方式，對其他用戶的流量造成干擾。類似地，21世紀00年代，新力曾在電腦上安裝工具，阻止用戶盜版其軟體，然而這給駭客留下了後門。

　　如果有人能提取Superfish給證書進行簽名的密鑰，同時與受害者PC處於同一內網，例如同一家咖啡店的公用WiFi網路，那麼可以對惡意軟體進行簽名，使惡意軟軟體順利運作在受害者的PC中。

　　格雷厄姆表示：“對所有電腦來説，這是同樣的根認證授權。這意味著，連接至同一WiFi熱點的駭客，或是在網際網路上進行刺探的情報機構，可以使用密鑰去干擾Superfish用戶的所有SSL加密連接。”而這將帶來嚴重的資訊安全問題。“因此，Superfish能對你進行‘駭客’活動，或是給其他人的駭客活動提供一個系統。”

　　儘管這樣的攻擊仍然比較麻煩，且應用場景受到限制，但如果攻擊者掌握了必要手段，並且知道聯想電腦的用戶更傾向於訪問哪些網站，那麼仍有可能獲取用戶的數據，包括銀行登錄資訊和電子郵件等。

　　哪些用戶會受到影響，以及如何應對

　　聯想目前已經將Superfish下線，並計劃提供“修復”。聯想一名發言人在電子郵件中表示：“從2015年1月開始，聯想已經從消費類系統的預裝包中移除了Superfish。與此同時，在當前的聯想電腦中，Superfish也被禁用。Superfish僅僅被預裝在部分消費類型號的電腦中，聯想將對關於Superfish的所有問題，以及新出現的問題進行徹查。”Superfish自身尚未對此做出回應。

　　根據該發言人的説法，聯想只在去年9月至12月發貨的某些消費類筆電中預裝了Superfish。Chrome和IE瀏覽器受到了影響，因為這些瀏覽器使用了Windows的可信證書列表。而儘管火狐瀏覽器有著自己的證書提供方，但電子前線基金會也發現，火狐瀏覽器用戶同時運作的Superfish證書曾多達4.4萬個。

　　如果希望了解自己是否受影響，那麼可以查看Windows的可信證書列表。用戶可以打開控制面板，搜索“證書”。這將打開管理員工具，以及相應的“管理電腦證書”選項。依次點擊“可信的根認證授權”選項和“證書”，用戶即可查看證書列表。如果看到有Superfish的證書存在，那麼你可能將受到影響。

　　即使用戶能找到這一軟體並卸載，問題也無法徹底解決，因為這樣的操作不會刪除證書。因此，如果擔心自己的電腦受到Superfish的影響，最好的辦法是備份系統內的資訊並重裝系統。

　　資訊安全專家特羅伊·亨特(Troy Hunt)表示：“我自己近期購買了新的聯想電腦，而所做的第一件事就是安裝純凈版Windows。只有通過這種方式，你才能確保不會有任何討厭的預裝軟體，而我也建議任何有此類擔心的用戶這樣去做。”(邱越)