在一款预装到联想电脑上的软件中发现了一个漏洞，该软件可能允许黑客访问用户的安全浏览器数据，从而允许第三方收集密码、银行详细信息和其他敏感信息。

Superfish是联想今年1月承认将其作为消费类PC标准配置的一款广告软件，据报道，它充当了“中间人”的角色，因此可以访问私人数据用于广告目的。广告软件使自己成为一个不受限制的根证书颁发机构，安装一个代理，每当请求安全连接时，它都能够生成虚假的SSL证书。SSL证书是一种小文件，银行、社交网络、零售商（如Amazon）和其他许多人使用它来向传入的连接证明该站点是合法的。通过创建自己的SSL证书，Superfish甚至可以在安全连接上执行其广告任务，注入广告并从应该是私有的页面读取数据。

根据联想的一份声明，该合作关系已于今年1月终止，但许多早期的电脑可能仍安装了该软件。联想在同一份声明中驳斥了这一**，称“我们已经彻底调查了这项技术，没有找到任何证据证实安全问题。”

安全专家Kenn White今天在Twitter上展示了Superfish的代理证书。怀特的照片显示的是一个颁发给美国银行（bankofamerica）的证书，但它是由Superfish颁发的，而不是由VeriSign等受信任的根证书颁发机构颁发的。Superfish是一个能够检查网络流量并将这些数据发送到其他网站用于广告目的的程序，它的性质意味着黑客有可能访问通过所谓的安全连接传输的信息——例如，在其URL中有https://的在线商店和银行网站，并在用户浏览器中显示一个锁。

令人不安的是，Superfish和联想正在使用这种代理来查看用于广告目的的安全数据，但第三方也可能获得他们的私人信息。似乎Superfish在每台机器上都对其伪根证书使用了相同的私钥。正如Brown Hat Security研究员Eric Rand向Verge解释的那样，如果有人能够破解密钥，那么邪恶的个人就可以创建所有联想机器固有信任的证书，或者编写所有联想机器都视为可信程序的恶意软件。事实上，许多安全研究人员已经破解了这个密码，Errata security的Robert Graham已经将其公开使用。

今年1月，联想曾短暂地将Superfish从其产品中删除，但为其使用该软件进行了辩护，称该软件不评测或监控用户行为，也不记录用户信息。联想指出，用户在第一次使用该产品时会收到该产品的使用条款和隐私政策，并可以选择禁用该产品，但联想的购买者发现，卸载该程序并不会删除根证书。

Superfish本身最近在美国发展最快的公司排行榜上排名第四。它**的程序分析你在浏览过程中看到的图像，搜索超过70000家商店，寻找价格可能更低的类似产品。联想称自己是“视觉搜索技术的先驱”，但联想用户对其标准加入表示不满。

联想对这一事件做出回应，称“正在彻底调查有关Superfish的所有新问题”。该公司还证实，Superfish上个月禁用了现有机器上的激活功能，并已将其从新机器上删除。今年1月，该公司表示，这项技术是无害的，但该公司对广告软件的辩护没有考虑到这家全球最大的个人电脑**商显然已在其数千台个人电脑中植入了明显的安全漏洞。

美国东部时间2月19日凌晨4:44：文章更新联想回应。

2月19日上午9:45美国东部时间：文章更新，包括新闻，超高速密码已被破解。