2015-02-26 16:26:17
美国政府周五建议联想客户移除笔记本电脑中的“Superfish”软件,这款预载于部分联想笔记本电脑中的软件恐让用户易于受到网路攻击。
美国国土安全部发出警示讯息,称该软件将让用户易于落入SSL诈骗式的网路攻击。在这类攻击中,远端发动攻击者可以解读加密的网路资料,将用户从正确网站引导至诈骗网页,并执行其他攻击活动。
国土安全部称,“预载这一软件的系统在加以修正之前,将持续易于受到攻击。”
Superfish执行长Adi Pinhas发布一份声明稿指出,该公司的软件协助用户依照浏览过的图像改善搜寻结果。他称用户之所以易于受到攻击,是因为以色列公司Komodia不慎引起;Komodia为建构政府公告中所描述的应用程序的业者。
Komodia执行长Barak Weichselbaum拒绝置评。
联想在周五发表的声明中,为“引起用户担忧”而道歉,并表示该公司正“研究所有我们能做的”来解决Superfish引发的问题,包括提供卸载该软件及授权的工具。
“由于用户的投诉,我们已经在1月下令停止预装(Superfish),并关闭服务器连接。不过在昨天(周四)以前,我们并不知晓这一潜在的安全问题,”联想在声明中称。
“我们承认这是我们的疏漏,未来将会加以改进。目前我们正专注于解决问题,”该公司称。
Komodia的公司网站表示,该公司的产品能够令用户看到以SSL技术加密的数据。
CloudFlare研究员Marc Rogers认为,这意味着使用Komodia技术的企业能够偷偷监视网站流量。
“这些人可以为所欲为,从简单地收集一些市场信息,到建立你的个人资料库和监视你的银行往来无所不包,” 他说。“这非常危险。”
Rogers表示,在其他产品中使用Komodia技术,也会令这些产品容易受到与联想Superfish同样类型的攻击。
联想没有披露有多少台电脑受到影响,但表示只有在去年9-12月出货的电脑预装了Superfish。
根据联想的产品支持网站,该公司旗下的受影响产品包括Yoga、Flex和MiiX笔记本电脑,以及E、G、U、Y和Z系列产品。
