聯想筆電安裝廣告軟體,並且竊取用戶私密資料
摘錄自:天下雜誌每日報電子報 2015/2/24
2015-02-23 Web only 作者:陳瑞霖/科技新報
 |
| 圖片來源:flickr@月明 端木 CC by 2.0 |
聯想被爆出販售的電腦中,出現間諜軟體,讓使用者曝露在 HTTPS 中間人攻擊的風險。
意味著駭客有辦法看到你在瀏覽器中的資料,包括瀏覽的網站,甚至私密的資料如密碼、銀行帳密。影響範圍至少包括聯想賣出的電腦,在Windows 作業系統的 IE、Chrome、Safari。
這次聯想被發現預裝的間諜 Superfish,其實早在今年一月時就爆出來了。但當時以為只是一款會在瀏覽器瀏覽網頁時插入廣告的廣告軟體,如今卻被發現這是一款間諜軟體,會竊取使用者的瀏覽器中的私密資料。Superfish 會安裝自行簽署的 HTTPS 安全憑證,攔截使用者瀏覽的網站資訊。如果使用者連到需要 HTTPS 認證的網站,Supaerfish 會假冒是該網站的身份,讓使用者以為連到正常的網站。
資安公司 Errata Security CEO Rob
Graham 破解了 Superfish 的安全憑證,並且公佈了私鑰,現在任何都能在有安全憑證的機器上發動 HTTPS 中間人攻擊,而這不過花了 Graham 三個小時的時間破解。
聯想說一月時他們就與 Superfish 終止合作了,但是早先的機種仍舊有這款間諜軟體。聯想 CTO Peter Hortensius 承諾將會盡快推出工具,徹底清除這支惡意程式。目前在聯想的客服網站已經有詳細步驟敘述如何清除 Superfish。
(本文轉載自2015.02.20「科技新報TechNews」,本文僅反映專家作者意見,不代表本社立場。)
沒有留言:
張貼留言