联想电脑或泄密码私隐 1600万电脑受影响(图)
(网络图片)
【看中国2015年02月21日讯】全球电脑生产商联想(Lenovo)手提电脑,被揭有严重安全漏洞。联想近月出货的一批手提电脑预载一款广告软件,原本是针对用户浏览内容,打出商品类似广告,但网络专家发现,该软件易被黑客利用来窃取密码和各种敏感资料。
据美国福布斯杂志报导,联想将该款叫Superfish软件,任务是实时分析电脑用户上网期间看到的商品图片,然后打出“相同或类似,而价格可能较相宜的产品广告”。
法国广播电台报导称,虽然联想表示,今年1月已停止该软件启动,但去年9月至12月间,联想付运了超过1600万部有该软件的手提及个人电脑。安全专家指出,Superfish“必预阻截网络数据流通,才能够加插广告”,这就如同窃听一样。
在网上传输敏感资料,包括网购、使用网上银行和电邮时,大都会用HTTPS(超文本传输安全协议)将资料加密。而要启动这功能,服务器需有数码凭证,让用户端认得服务器端真实身份,但先决条件是核发凭证的机构(如微软)。
为了让Superfish运作,联想自我签发安全凭证,如此一来就可查看用户的网络交通和加入广告。这亦令Superfish当上了凭证颁发机构,能够决定信任哪些加密通讯。
由于Superfish在每部电脑重复使用同一安全凭证,因此,黑客只要破解Superfish安全凭证的“私钥”(private key),就可自行签发安全凭证,盗取敏感资料。
尽管暂时未有证据显示有黑客利用这漏洞来窃取资料,但目前已有人破解Superfish的私钥,并在网上公布,意味确实有被窃资料风险。