联想提供预装“Superfish恶意软件”的PC,可杀死HTTPS
相关标签: # 漏洞# 研究# 监控# 攻击# 软件
该软件名为超级恶意软件,分析用户的上网习惯,并在未经用户许可的情况下,在谷歌浏览器(Google Chrome)和IE浏览器(Internet Explorer)等浏览器上的网站上投放第三方广告。
安全研究人员最近发现超级恶意软件赠送给2015年1月前售出的新款消费级联想电脑。当第一次从盒子里拿出来时,广告软件会被激活,因为它是预装的,联想的客户可能最终会无意中使用它。
SUPERFISH证书密码被破解
这个超级恶意软件对该公司打破基本网络安全协议、实施中间人“(MitM)攻击——模拟加密网站的安全证书,以便监控用户的行为,即使是在受保护的网站上。
这会给联想用户带来麻烦,因为MitM攻击可能会为黑客打开一扇门,让他们潜在地泄露任何受Superfish影响的客户的敏感信息,比如密码或银行信息,因为用户的数据实际上没有受到保护。
任何拥有解锁该单一密码保护证书颁发机构的密码的人都可以完全绕过计算机的网络加密。
根据Errata Security的罗伯特·大卫·格雷厄姆(Robert David Graham)的一篇帖子,他破解并发布了存储在Superfish软件活动内存中的密码,该密码很容易提取。因此,如果任何黑客或网络骗子也会这样做,那么损失可想而知。
SUPERFISH恶意软件暂时删除
这条新闻在互联网上引发了轩然大波,多个用户抱怨弹出窗口和其他不必要的行为后,这家计算机巨头删除了这条消息超级恶意软件.
"在Superfish能够提供解决这些问题的软件版本之前,我们已经暂时将Superfish从消费者系统中删除。对于已经上市的产品,我们要求Superfish auto更新解决这些问题的修复程序“联想社区管理员马克·霍普金斯在1月底写道。
霍普金斯大学还为该公司辩护,从一开始就没有因为安装Superfish而受到批评;但它没有解决错误的HTTPS证书问题。他还表示,联想用户在安装笔记本电脑时可以拒绝这些条款和条件,以禁用该软件。
"要明确的是,Superfish技术纯粹基于上下文/图像,而不是行为,“霍普金斯的声明写道。”它既不分析也不监视用户行为。它不记录用户信息。它不知道用户是谁。"
自签名HTTPS证书引发了重大安全问题
而在线论坛上的其他用户则报告说超级恶意软件实际上,它安装了自己的自签名证书颁发机构,从而有效地允许公司窥探安全连接。如果是真的,超级恶意软件可能比我们想象的要危险得多。
"一个明目张胆的中间人攻击违反隐私法的恶意软件。我要求归还笔记本电脑并退款,因为我觉得难以置信。。。联想将为这些与新笔记本电脑预装配的应用提供便利,该用户在联想论坛上写道。
Facebook工程总监迈克·沙弗(Mike Shaver)也通过他的个人Twitter账户警告了这种侵入性广告软件,称他发现了共享同一RSA密钥的不同用户发布的SuperFish证书。
"联想在新的笔记本电脑上安装了一个名为SuperFish的MITM证书和代理,这样它就可以插入广告了?有人告诉我,这不是我所处的世界“剃须刀”在推特上写道。
联想——这只是为了提升用户体验
该公司今早发表了一份奇怪的声明,对联想电脑上的争议进行了处理。根据计算机巨头的说法Superfish软件是"帮助顾客在购物时潜在地发现有趣的产品。"
"与Superfish的关系在财务上并不重要,“声明写道。”我们的目标是增强用户体验。我们认识到该软件没有达到这一目标,并迅速果断地采取了行动。"
我对公司发布的新声明有何反应?哦来吧,联想,我们知道现实。也许你是世界上最大的个人电脑品牌之一,但毕竟你也是一个中国个人电脑品牌。
如何删除联想SUPERFISH
如何删除联想SUPERFISH
- 转到文件并单击添加/删除。
- 选择证书,单击添加。
- 选择计算机帐户,单击下一步
- 选择本地计算机,单击完成
- 点击OK
- 查看受信任的根证书颁发机构->;证书
- 找到发给Superfish的文件并将其删除。
联想在后门方面的糟糕历史
这不是第一次,在过去,这家计算机巨头被发现在其产品中安装恶意软件后门,并且由于同样的原因被不同国家禁止。
2013年年中,间谍机构——由美国、英国、加拿大、澳大利亚和新西兰组成的“五眼”联盟——因涉嫌在联想品牌的电路板上安装后门,以及在固件中发现的其他漏洞而禁止联想。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
