全球最大電腦生產商聯想(Lenovo)的手提電腦,被揭有嚴重安全漏洞。聯想近月出貨的一批手提電腦預載了一款廣告軟件,原本作用是針對用戶瀏覽內容打出同類商品的廣告,但網絡保安專家發現,該軟件很易被黑客利用來竊取密碼和各種敏感資料。聯想前日表示已停止啟動該款軟件,並提供永久移除軟件的方法。
聯想指該款叫Superfish的軟件,任務是實時分析電腦用戶上網期間看到的商品圖片,然後打出「相同或類似、而價格可能較相宜的產品廣告」。聯想強調,Superfish並不追蹤用戶,也不蒐集任何可用來辨認用戶身份的資料。
用戶投訴太多彈出式廣告
預載Superfish的手提電腦數目不詳,聯想只說在去年九月至十二月間,付運了「一些」有該軟件的手提電腦。不過涉及的電腦數目估計不少,事關聯想在去年第四季付運超過一千六百萬部手提及個人電腦。聯想指今年一月已停止軟件的啟動,原因是用戶投訴太多彈出式(pop-up)廣告。
但Superfish帶來的問題,絕不只是廣告擾人,而是削弱網絡保安。安全專家本周指出,Superfish「必預阻截網絡數據流通,才能夠加插廣告」,這就如同竊聽一樣。
在網上傳輸敏感資料,包括網購、使用網上銀行和電郵時,大都會用HTTPS(超文本傳輸安全協議)將資料加密。而要啟動這功能,伺服器需有數碼憑證,好讓用戶端認得伺服器端真實身份,但先決條件是核發憑證的機構,是要受到信賴的憑證頒發機構(例如微軟)。
為了讓Superfish運作,聯想自我簽發安全憑證,如此一來就可查看用戶的網絡交通和加入廣告。這亦令Superfish當上了憑證頒發機構,能夠決定信任哪些加密通訊。
令問題更嚴重的是,Superfish在每部電腦重複使用同一份安全憑證,因此黑客只要破解到Superfish用來簽發安全憑證的「私鑰」(private key),就可自行簽發安全憑證;然後黑客就可在公共網絡(例如在咖啡店內的公共WiFi),直闖使用同一網絡的聯想手提電腦,盜取敏感資料。儘管暫時未有證據顯示有黑客利用這漏洞來竊取資料,但昨天有人已破解Superfish的私鑰並在網上公佈,意味確實有被竊資料風險。
聯想發佈移除軟件指引
設於美國加州矽谷和以色列的Superfish公司,暫未回應有關問題。而聯想最初仍口硬,稱內部調查未發現「安全問題」,但其後已把有關句子自聲明中刪除。發言人滕格勒前天補鑊說:「我們並非說(預載Superfish)不是錯誤。它確有不足。」聯想正檢討有關程序,並發佈了移除該軟件和有關加密驗證的詳細指引。
美聯社/美國《福布斯》