伊莉討論區
標題:
聯想筆電預載Superfish惡意廣告程式:會亂插廣告,綁架合法連線
[打印本頁]
作者:
flashtamama
時間:
2015-2-24 08:40 PM
標題:
聯想筆電預載Superfish惡意廣告程式:會亂插廣告,綁架合法連線
[size=17.3333339691162px]預載Superfish的包括G、U、Y、Z、S、Flex、MIIX及Yoga等系列的特定機型。這個廣告軟體會挾持用戶電腦的搜尋結果,並擅自置入第三方廣告,還會以假冒的HTTPS根憑證矇騙瀏覽器,進而綁架SSL/TLS連線。
[attach]107325863[/attach]
[size=17.3333339691162px]聯想(Lenovo)被爆在筆電中預載Superfish的Visual Discovery廣告軟體,這個軟體不但會擅自在瀏覽器中呈現廣告,還會冒充合法網站的SSL憑證而讓用戶曝露於中間人攻擊的風險。在引起軒然大波之後,聯想對外致歉並釋出移除工具。
[size=17.3333339691162px]事實上聯想用戶iknorr去年九月間就在聯想論壇上反映,他以Chrome使用Google搜尋時搜尋結果中會被插入廣告。經過追查發現,廣告來自Superfish的廣告軟體,再仔細研究安裝日期,發現竟是內建在自己的聯想電腦中,這個廣告軟體會挾持用戶電腦的搜尋結果,並擅自置入第三方廣告。根據聯想事後發出的聲明,該公司的確是在2014年9月開始在部份消費型筆電機型中預載Superfish。
[size=17.3333339691162px]Superfish主要影響微軟的IE與Google Chrome兩款瀏覽器,Firefox用戶則不受影響。
[size=17.3333339691162px]一月中聯想曾經說明指出,預載的Superfish可分析網頁上的圖片,主要是要協助消費者視覺化搜尋,讓用戶無需確切知道或描述產品特徵就可找到類似的產品。
[size=17.3333339691162px]但實際上Superfish除了在未經使用者同意之下擅自於搜尋結果中插入廣告之外,還有其他相當危險的功能。
[size=17.3333339691162px]聯想論壇一位名為zibartsk的用戶指出,Superfish/Visual Discovery使用自行簽章的HTTPS根憑證,可矇騙瀏覽器,進而綁架SSL/TLS連線。
[size=17.3333339691162px]安全研究人員Marc Rogers則表示,Superfish具備的功能包括了會綁架合法連線、監控使用者活動、蒐集個人資料並上傳到伺服器,將廣告注入合法網頁、以廣告軟體展示跳出視窗、使用中間人攻擊破解開放的安全連線,並提供冒充的合法網站憑證等。這意味著,消費者根本無法信任任何網站。他並展示一個由Superfish冒充美國銀行所發出的憑證。
[size=17.3333339691162px]Errata Security安全研究人員Robert Graham解析Superfish的憑證,僅用了三小時反向工程即破解其加密密碼為komodia。他表示,如果金鑰流傳出去,就可用該憑證進行中間人攻擊。Komodia不但是密碼,同時也是一家專門提供SSL「重新導向」工具的公司,另一安全研究人員Filippo Valsorda指出,Superfish的廣告注射功能就是使用了Komodia的SSL攔截引擎。
[size=17.3333339691162px]消息曝光之後,引發媒體躂伐及消費者的強大反彈,並已有Yoga 2用戶Jessica Bennett向美國南加州地方法院對聯想提出集體訴訟。
[size=17.3333339691162px]立即移除!
[size=17.3333339691162px]根據聯想聲明,預載Superfish的包括G、U、Y、Z、S、Flex、MIIX及Yoga等系列的特定機種。聯想並強調,只在特定的消費型筆電機型上預載Superfish,從未在任何ThinkPad筆電、桌機、平板、智慧型手機或伺服器安裝Superfish。
[size=17.3333339691162px]在強大的輿論壓力之下,聯想表示已從一月起停止預載Superfish,並關閉伺服器連線,另外還提供移除工具,並且和微軟及McAfee合作更新安全軟體,以移除及隔離Superfish並自動修補這項漏洞。聯想技術長Peter Hortensius也發表聲明公開道歉。
[size=17.3333339691162px]美國國土安全部發出安全警告指出,聯想電腦預載的Superfish廣告軟體漏洞會導致HTTPS連線被監聽,並建議立即移除相關軟體及CA憑證。(編譯/林妍溱)
作者:
3300999
時間:
2015-2-26 12:05 AM
本帖最後由 3300999 於 2015-2-26 12:05 AM 編輯
中國製造.........科科
目前美國消費者已經對聯想提出集體訴訟了,看來要賠到脫褲子了
作者:
cscs9595
時間:
2015-2-26 12:44 AM
好雷的筆電 內建惡意軟體 真是前所未聞 ..
還好媒體批露 不然更多人中招!!
作者:
flysky111
時間:
2015-2-26 11:31 AM
真的很麻煩 還要自己清理 !!!
作者:
kevinfan
時間:
2015-2-26 12:03 PM
不過聯想已經說出貨到臺灣的產品沒有內建Superfish了
作者:
javierliang
時間:
2015-2-26 12:17 PM
之前是手機,現在連中國品牌的筆電都傳出這種消息,
下次採購電子產品要多留意啦!
作者:
風雪生
時間:
2015-2-26 02:19 PM
以後要買中國品牌要多多注意
老實裝流氓軟體
作者:
droomagon
時間:
2015-2-26 02:19 PM
不知道哪個商人這麼缺德
該殺
作者:
detheroc4958
時間:
2015-2-26 02:40 PM
提示:
作者被禁止或刪除 內容自動屏蔽
作者:
武戲
時間:
2015-2-26 03:53 PM
信譽應該大受影響
不知道他家的其他產品是否有疑慮
作者:
asar30460
時間:
2015-2-26 06:53 PM
看來網路安全越來越重要
真的要花錢去買網路安全了..
作者:
dundy5562
時間:
2015-2-26 10:58 PM
好雷的筆電 內建惡意軟體 真是前所未聞 ..
作者:
bow9173
時間:
2015-2-27 12:51 AM
聯想也是不小的廠牌
竟然也會出這種包
作者:
JRONE
時間:
2015-2-27 03:00 AM
提示:
作者被禁止或刪除 內容自動屏蔽
作者:
lelekoko
時間:
2015-2-27 04:21 PM
提示:
作者被禁止或刪除 內容自動屏蔽
作者:
鬼次郎
時間:
2015-2-27 06:03 PM
中國產的軟體就算是正牌的合法公司出產,我也是不怎麼敢用.
除非沒有替代軟體,不然一率列為拒絕往來戶.
這是我這些年來接觸中國軟體的經驗.
就算只是簡單個網頁來下載,通常都得費上一番功夫...
作者:
kenken6804
時間:
2015-3-2 10:25 PM
提示:
作者被禁止或刪除 內容自動屏蔽
作者:
greentea23
時間:
2015-3-3 04:34 AM
提示:
作者被禁止或刪除 內容自動屏蔽
作者:
cobe327
時間:
2015-3-3 08:46 AM
怎麼這麼大的企業會搞這種小動作,目的為何?把自己的招牌搞砸了,有好處嗎?
作者:
boyspeed
時間:
2015-3-3 03:44 PM
聽說產品不錯還好我沒有買
歡迎光臨 伊莉討論區 (http://www09.eyny.com/)
Powered by Discuz!