聯想在電腦上安裝廣告軟體，可能讓駭客竊取私人資料

在一款預裝到聯想電腦上的軟體中發現了一個漏洞，該軟體可能允許駭客訪問使用者的安全瀏覽器資料，從而允許第三方收集密碼、銀行詳細資訊和其他敏感資訊。...

在一款預裝到聯想電腦上的軟體中發現了一個漏洞，該軟體可能允許駭客訪問使用者的安全瀏覽器資料，從而允許第三方收集密碼、銀行詳細資訊和其他敏感資訊。

Superfish是聯想今年1月承認將其作為消費類PC標準配置的一款廣告軟體，據報道，它充當了“中間人”的角色，因此可以訪問私人資料用於廣告目的。廣告軟體使自己成為一個不受限制的根證書頒發機構，安裝一個代理，每當請求安全連線時，它都能夠生成虛假的SSL證書。SSL證書是一種小檔案，銀行、社交網路、零售商（如Amazon）和其他許多人使用它來向傳入的連線證明該站點是合法的。透過建立自己的SSL證書，Superfish甚至可以在安全連線上執行其廣告任務，註入廣告並從應該是私有的頁面讀取資料。

根據聯想的一份宣告，該合作關係已於今年1月終止，但許多早期的電腦可能仍安裝了該軟體。聯想在同一份宣告中駁斥了這一**，稱“我們已經徹底調查了這項技術，沒有找到任何證據證實安全問題。”

安全專家Kenn White今天在Twitter上展示了Superfish的代理證書。懷特的照片顯示的是一個頒發給美國銀行（bankofamerica）的證書，但它是由Superfish頒發的，而不是由VeriSign等受信任的根證書頒發機構頒發的。Superfish是一個能夠檢查網路流量並將這些資料傳送到其他網站用於廣告目的的程式，它的性質意味著駭客有可能訪問透過所謂的安全連線傳輸的資訊——例如，在其URL中有https://的線上商店和銀行網站，併在使用者瀏覽器中顯示一個鎖。

令人不安的是，Superfish和聯想正在使用這種代理來檢視用於廣告目的的安全資料，但第三方也可能獲得他們的私人資訊。似乎Superfish在每臺機器上都對其偽根證書使用了相同的私鑰。正如Brown Hat Security研究員Eric Rand向Verge解釋的那樣，如果有人能夠破解金鑰，那麼邪惡的個人就可以建立所有聯想機器固有信任的證書，或者編寫所有聯想機器都視為可信程式的惡意軟體。事實上，許多安全研究人員已經破解了這個密碼，Errata security的Robert Graham已經將其公開使用。

今年1月，聯想曾短暫地將Superfish從其產品中刪除，但為其使用該軟體進行了辯護，稱該軟體不評測或監控使用者行為，也不記錄使用者資訊。聯想指出，使用者在第一次使用該產品時會收到該產品的使用條款和隱私政策，並可以選擇禁用該產品，但聯想的購買者發現，解除安裝該程式並不會刪除根證書。

Superfish本身最近在美國發展最快的公司排行榜上排名第四。它**的程式分析你在瀏覽過程中看到的影象，搜尋超過70000家商店，尋找價格可能更低的類似產品。聯想稱自己是“視覺搜尋技術的先驅”，但聯想使用者對其標準加入表示不滿。

聯想對這一事件做出回應，稱“正在徹底調查有關Superfish的所有新問題”。該公司還證實，Superfish上個月禁用了現有機器上的啟用功能，並已將其從新機器上刪除。今年1月，該公司表示，這項技術是無害的，但該公司對廣告軟體的辯護沒有考慮到這家全球最大的個人電腦**商顯然已在其數千臺個人電腦中植入了明顯的安全漏洞。

美國東部時間2月19日凌晨4:44：文章更新聯想回應。

2月19日上午9:45美國東部時間：文章更新，包括新聞，超高速密碼已被破解。