聯想筆電安裝廣告軟體，並且竊取用戶私密資料

sleepless

聯想筆電安裝廣告軟體，並且竊取用戶私密資料
圖片來源：flickr@月明 端木 CC by 2.0

聯想被爆出販售的電腦中，出現間諜軟體，讓使用者曝露在 http 中間人攻擊的風險。
  

意味著駭客有辦法看到你在瀏覽器中的資料，包括瀏覽的網站，甚至私密的資料如密碼、銀行帳密。影響範圍至少包括聯想賣出的電腦，在Windows 作業系統的 IE、Chrome、Safari。

這次聯想被發現預裝的間諜 Superfish，其實早在今年一月時就爆出來了。但當時以為只是一款會在瀏覽器瀏覽網頁時插入廣告的廣告軟體，如今卻被發現這是一款間諜軟體，會竊取使用者的瀏覽器中的私密資料。Superfish 會安裝自行簽署的 http 安全憑證，攔截使用者瀏覽的網站資訊。如果使用者連到需要 http 認證的網站，Supaerfish 會假冒是該網站的身份，讓使用者以為連到正常的網站。

資安公司 Errata Security CEO Rob Graham 破解了 Superfish 的安全憑證，並且公佈了私鑰，現在任何都能在有安全憑證的機器上發動 http 中間人攻擊，而這不過花了 Graham 三個小時的時間破解。

聯想說一月時他們就與 Superfish 終止合作了，但是早先的機種仍舊有這款間諜軟體。聯想 CTO Peter Hortensius 承諾將會盡快推出工具，徹底清除這支惡意程式。目前在聯想的客服網站已經有詳細步驟敘述如何清除 Superfish。