聯想被爆出販售的電腦中,出現間諜軟體,讓使用者曝露在 HTTPS 中間人攻擊的風險。意味著駭客有辦法看到你在瀏覽器中的資料,包括瀏覽的網站,甚至私密的資料如密碼、銀行帳密。影響範圍至少包括聯想賣出的電腦,在Windows 作業系統的 IE、Chrome、Safari。
這次聯想被發現預裝的間諜 Superfish,其實早在今年一月時就爆出來了。但當時以為只是一款會在瀏覽器瀏覽網頁時插入廣告的廣告軟體,如今卻被發現這是一款間諜軟體,會竊取使用者的瀏覽器中的私密資料。Superfish 會安裝自行簽署的 HTTPS 安全憑證,攔截使用者瀏覽的網站資訊。如果使用者連到需要 HTTPS 認證的網站,Supaerfish 會假冒是該網站的身份,讓使用者以為連到正常的網站。
資安公司 Errata Security CEO Rob Graham
破解了 Superfish 的安全憑證,並且公佈了私鑰,現在任何都能在有安全憑證的機器上發動 HTTPS 中間人攻擊,而這不過花了 Graham 三個小時的時間破解。
聯想說一月時他們就與 Superfish
終止合作了,但是早先的機種仍舊有這款間諜軟體。聯想 CTO Peter Hortensius
承諾將會盡快推出工具,徹底清除這支惡意程式。目前在聯想的客服網站已經有詳細步驟敘述
如何清除 Superfish。
相關連結
原文出處