你有聯想電腦嗎?所以立即檢查:運行(使用Windows+R命令)程序證書管理器MSC。然後前往「根憑證授權單位」部分,查看您是否擁有由「Superfish, inc」所頒發的憑證。如果有,請右鍵單擊並將其刪除。
這個小文件實際上與那裡無關。它是由聯想預先安裝在您的電腦上的:第一大PC 製造商實際上已與美國公司Superfish 簽訂了商業協議,該公司涉及相當可疑的業務......因為它銷售廣告軟體,這會污染您的遊戲會話透過煩人的附加廣告上網。
它是如何運作的?
這種垃圾郵件之所以有效,是因為有一個在您的電腦上永久運行的代理程式。透過這種方式,Superfish 能夠即時攔截您的衝浪會話並修改您查閱的網頁以注入不需要的廣告。這是一項相當經典的技術,但電腦製造商將這樣的產品整合到其機器中已經令人驚訝。
但由於這個著名的根證書,這些聯想電腦中安裝的 Superfish 版本帶來了更嚴重的問題。因為,這個小檔案位於 Windows 的核心,也允許廣告軟體解密您的所有 HTTPS 會話:當代理程式執行時,Superfish 確保所有建立的安全連線都透過其偽造的憑證進行驗證。結果:您認為自己處於安全連線(綠色掛鎖)下,而您的通訊被解密,並且該軟體繼續向您發送廣告...如果您的連線被加密,則該軟體將無法顯示這些廣告。只有使用自己的憑證清單的 Firefox 使用者才是安全的。
例如,下面的照片顯示了美國銀行網站上看似安全的衝浪會話…並附有 Superfish 憑證。
這是一個問題。#超級魚 pic.twitter.com/jKDfSo99ZR
— 肯懷特 (@kennwhite)2015 年 2 月 19 日
除了這意味著對使用者的蔑視之外,這種令人厭惡的做法也帶來了巨大的安全問題。首先,因為 Superfish 有可能「讀取」您的所有數據,甚至是最個人的數據。然後因為證書在安裝它的所有機器上使用相同的私鑰......並且這已經發佈在互聯網上。結果:受此廣告軟體感染的聯想電腦的所有用戶都受到駭客(或美國國家安全局)的擺佈,駭客可以利用此漏洞透過創建他們的電腦毫不猶豫地信任的證書來欺騙他們。更糟的是,正如剛才出色的表現所證明的那樣羅伯特·格雷厄姆,連接到公共熱點的駭客可以完美地從安裝了 Superfish 的聯想機器上恢復所有加密通訊(密碼、銀行資訊)。
聯想反應
該問題已在聯想論壇上討論了數週。該品牌最終在一月底做出了反應:“暫時將 Superfish 從其消費機器中移除» 在等待可以解決問題的補丁時。但令人驚訝的是,當時並沒有提及這個證書。只是由於廣告軟體的某些行為(例如彈出廣告)造成的“問題”。聯想還在幾個準促銷段落中熱情為其合作夥伴辯護:“Superfish 技術可協助使用者直觀地尋找和發現產品”在提醒 Superfish 不分析用戶行為之前,特別指出了該品牌。美麗的腿…
但話語剛剛改變。面對這種繁瑣的合作關係所引起的強烈抗議,聯想回溯。並承諾Superfish現已停用,以後將不再預設安裝軟體。“我們的目標是找到最能為用戶服務的技術。在這裡,我們對負面反饋做出了迅速反應,並採取了果斷行動。
故事的結局?我們希望如此。儘管如此,令人擔憂的是,PC 製造商無疑正在尋找新的收入來源,並與毫不猶豫地利用我們的數據和安全的公司合作。
另請閱讀:
Komodia,聯想醜聞背後的垃圾郵件章魚,於 21/02/2015
