rss信息聚合

联想捧红了Superfish!它有多可怕?

2015-02-21 22:55:45 作者:刘子乐 来源:TechDaily 浏览次数:0 网友评论 0 | Share to

【TechDaily电子报2015年2月21日吉隆坡讯】联想(Lenovo)被曝在PC中预装了名为“Superfish”的流氓软件,从而向用户发送广告。这一消息引发了注重隐私人士的愤怒和不满,到底这个恶意软件到底有多可怕?

联想不希望人们将Superfish称作恶意软件,不过这款软件已被认为是一种恶意软件,或者说广告推送工具。

Superfish同时也是这款软件的开发商的名字,该公司位于特拉维夫和帕洛阿尔托。该公司宣称“开发全球最先进、最灵活的视觉搜索技术”,并在《福布斯》杂志美国最具前景公司的排名中位居第64。

从我们目前已知的信息,联想通过Superfish向谷歌搜索结果中插入广告。很明显,这是一种赚钱的好方法。

早在2014年年中,就有用户对Superfish进行了投诉。而随后,进行投诉的用户越来越多。

1月23日,联想的一名人士给出了以下说法,试图平息用户的不满:“Superfish只被预装至联想的消费类产品,这一技术以可视的方式帮助用户查找并发现产品。该技术能实时分析网上的图片,展示同样或类似、但价格较低的产品,在用户不知道物品名称,以及如何通过文字来描述的情况下帮助用户搜索图片。”

“Superfish技术完全基于上下文和图片,而与用户行为无关。该技术不会保存或跟踪用户行为,也不会记录用户信息,不会知道用户的身份。用户没有被追踪,也没有被再瞄准。每一次会话都是独立的。在首次使用Superfish时,用户将会看到使用条款和隐私保护政策。如果不接受这些条款,那么Superfish将被禁用。”

这些看起来都没有太大问题,但隐私保护人士担心,Superfish有可能会干扰用户的流量,被用于另一些不可告人的目的。对于未加密流量,即通过Http而不是Https协议传输的流量,Superfish可以向网页中注入JavaScript脚本。

此外,用户还担心,Superfish会干扰用户的加密流量,从而在用户电脑上展示广告。在信息安全领域,这被称作“中间人”攻击。如果联想这样做,那么将对外界所知的“证书链”造成破坏。许多网站会向来访的用户提供证书,以证明这些是合法网站,不存在恶意内容。

对于Superfish,有报道指出,联想使用了自签名证书,使其看起来是可信的。从理论上来说,Superfish将可以查看用户流量,并以自己期望的方式对其进行修改。


根据Errata Security的罗伯特·格雷厄姆(Robert Graham)的说法,这种方式使得Superfish获得了根认证授权(root CA)。

信息安全分析师安德里斯·林德(Andreas Lindh)表示:“这意味着,Superfish能从浏览器的角度为Facebook或谷歌,以及任何其他使用Https协议的网站生成合法的加密证书。”

从隐私保护的角度来看,这样做并不理想。联想有可能滥用这样的权限,对PC用户展开监控活动。

而随之而来的信息安全问题,最可怕的还是骇客……(点击下一页)

 

[错误报告] [推荐] [收藏] [打印] [关闭] [返回顶部]

  • 验证码:

最新图片文章

最新文章