伊莉討論區

標題: 聯想筆電預載Superfish惡意廣告程式:會亂插廣告,綁架合法連線 [打印本頁]
作者: flashtamama    時間: 2015-2-24 08:40 PM     標題: 聯想筆電預載Superfish惡意廣告程式:會亂插廣告,綁架合法連線

[size=17.3333339691162px]預載Superfish的包括G、U、Y、Z、S、Flex、MIIX及Yoga等系列的特定機型。這個廣告軟體會挾持用戶電腦的搜尋結果,並擅自置入第三方廣告,還會以假冒的HTTPS根憑證矇騙瀏覽器,進而綁架SSL/TLS連線。
[attach]107325863[/attach]
[size=17.3333339691162px]聯想(Lenovo)被爆在筆電中預載Superfish的Visual Discovery廣告軟體,這個軟體不但會擅自在瀏覽器中呈現廣告,還會冒充合法網站的SSL憑證而讓用戶曝露於中間人攻擊的風險。在引起軒然大波之後,聯想對外致歉並釋出移除工具。
[size=17.3333339691162px]事實上聯想用戶iknorr去年九月間就在聯想論壇上反映,他以Chrome使用Google搜尋時搜尋結果中會被插入廣告。經過追查發現,廣告來自Superfish的廣告軟體,再仔細研究安裝日期,發現竟是內建在自己的聯想電腦中,這個廣告軟體會挾持用戶電腦的搜尋結果,並擅自置入第三方廣告。根據聯想事後發出的聲明,該公司的確是在2014年9月開始在部份消費型筆電機型中預載Superfish。
[size=17.3333339691162px]Superfish主要影響微軟的IE與Google Chrome兩款瀏覽器,Firefox用戶則不受影響。
[size=17.3333339691162px]一月中聯想曾經說明指出,預載的Superfish可分析網頁上的圖片,主要是要協助消費者視覺化搜尋,讓用戶無需確切知道或描述產品特徵就可找到類似的產品。
[size=17.3333339691162px]但實際上Superfish除了在未經使用者同意之下擅自於搜尋結果中插入廣告之外,還有其他相當危險的功能。
[size=17.3333339691162px]聯想論壇一位名為zibartsk的用戶指出,Superfish/Visual Discovery使用自行簽章的HTTPS根憑證,可矇騙瀏覽器,進而綁架SSL/TLS連線。
[size=17.3333339691162px]安全研究人員Marc Rogers則表示,Superfish具備的功能包括了會綁架合法連線、監控使用者活動、蒐集個人資料並上傳到伺服器,將廣告注入合法網頁、以廣告軟體展示跳出視窗、使用中間人攻擊破解開放的安全連線,並提供冒充的合法網站憑證等。這意味著,消費者根本無法信任任何網站。他並展示一個由Superfish冒充美國銀行所發出的憑證。
[size=17.3333339691162px]Errata Security安全研究人員Robert Graham解析Superfish的憑證,僅用了三小時反向工程即破解其加密密碼為komodia。他表示,如果金鑰流傳出去,就可用該憑證進行中間人攻擊。Komodia不但是密碼,同時也是一家專門提供SSL「重新導向」工具的公司,另一安全研究人員Filippo Valsorda指出,Superfish的廣告注射功能就是使用了Komodia的SSL攔截引擎。
[size=17.3333339691162px]消息曝光之後,引發媒體躂伐及消費者的強大反彈,並已有Yoga 2用戶Jessica Bennett向美國南加州地方法院對聯想提出集體訴訟。
[size=17.3333339691162px]立即移除!
[size=17.3333339691162px]根據聯想聲明,預載Superfish的包括G、U、Y、Z、S、Flex、MIIX及Yoga等系列的特定機種。聯想並強調,只在特定的消費型筆電機型上預載Superfish,從未在任何ThinkPad筆電、桌機、平板、智慧型手機或伺服器安裝Superfish。
[size=17.3333339691162px]在強大的輿論壓力之下,聯想表示已從一月起停止預載Superfish,並關閉伺服器連線,另外還提供移除工具,並且和微軟及McAfee合作更新安全軟體,以移除及隔離Superfish並自動修補這項漏洞。聯想技術長Peter Hortensius也發表聲明公開道歉。
[size=17.3333339691162px]美國國土安全部發出安全警告指出,聯想電腦預載的Superfish廣告軟體漏洞會導致HTTPS連線被監聽,並建議立即移除相關軟體及CA憑證。(編譯/林妍溱)

作者: 3300999    時間: 2015-2-26 12:05 AM

本帖最後由 3300999 於 2015-2-26 12:05 AM 編輯

中國製造.........科科

目前美國消費者已經對聯想提出集體訴訟了,看來要賠到脫褲子了
作者: cscs9595    時間: 2015-2-26 12:44 AM

好雷的筆電 內建惡意軟體 真是前所未聞 ..
還好媒體批露 不然更多人中招!!
作者: flysky111    時間: 2015-2-26 11:31 AM

真的很麻煩 還要自己清理 !!!
作者: kevinfan    時間: 2015-2-26 12:03 PM

不過聯想已經說出貨到臺灣的產品沒有內建Superfish了
作者: javierliang    時間: 2015-2-26 12:17 PM

之前是手機,現在連中國品牌的筆電都傳出這種消息,
下次採購電子產品要多留意啦!
作者: 風雪生    時間: 2015-2-26 02:19 PM

以後要買中國品牌要多多注意
老實裝流氓軟體
作者: droomagon    時間: 2015-2-26 02:19 PM

不知道哪個商人這麼缺德
該殺
作者: detheroc4958    時間: 2015-2-26 02:40 PM

提示: 作者被禁止或刪除 內容自動屏蔽
作者: 武戲    時間: 2015-2-26 03:53 PM

信譽應該大受影響

不知道他家的其他產品是否有疑慮
作者: asar30460    時間: 2015-2-26 06:53 PM

看來網路安全越來越重要
真的要花錢去買網路安全了..
作者: dundy5562    時間: 2015-2-26 10:58 PM

好雷的筆電 內建惡意軟體 真是前所未聞 ..
作者: bow9173    時間: 2015-2-27 12:51 AM

聯想也是不小的廠牌
竟然也會出這種包
作者: JRONE    時間: 2015-2-27 03:00 AM

提示: 作者被禁止或刪除 內容自動屏蔽
作者: lelekoko    時間: 2015-2-27 04:21 PM

提示: 作者被禁止或刪除 內容自動屏蔽
作者: 鬼次郎    時間: 2015-2-27 06:03 PM

中國產的軟體就算是正牌的合法公司出產,我也是不怎麼敢用.
除非沒有替代軟體,不然一率列為拒絕往來戶.
這是我這些年來接觸中國軟體的經驗.
就算只是簡單個網頁來下載,通常都得費上一番功夫...
作者: kenken6804    時間: 2015-3-2 10:25 PM

提示: 作者被禁止或刪除 內容自動屏蔽
作者: greentea23    時間: 2015-3-3 04:34 AM

提示: 作者被禁止或刪除 內容自動屏蔽
作者: cobe327    時間: 2015-3-3 08:46 AM

怎麼這麼大的企業會搞這種小動作,目的為何?把自己的招牌搞砸了,有好處嗎?
作者: boyspeed    時間: 2015-3-3 03:44 PM

聽說產品不錯還好我沒有買



歡迎光臨 伊莉討論區 (http://www09.eyny.com/) Powered by Discuz!