![]()
聯想被爆出販售的電腦中,出現間諜軟體,讓使用者曝露在 HTTPS 中間人攻擊的風險。意味著駭客有辦法看到你在瀏覽器中的資料,包括瀏覽的網站,甚至私密的資料如密碼、銀行帳密。影響範圍至少包括聯想賣出的電腦,在Windows 作業系統的 IE、Chrome、Safari。
這次聯想被發現預裝的間諜 Superfish,其實早在今年一月時就爆出來了。但當時以為只是一款會在瀏覽器瀏覽網頁時插入廣告的廣告軟體,如今卻被發現這是一款間諜軟體,會竊取使用者的瀏覽器中的私密資料。Superfish 會安裝自行簽署的 HTTPS 安全憑證,攔截使用者瀏覽的網站資訊。如果使用者連到需要 HTTPS 認證的網站,Supaerfish 會假冒是該網站的身份,讓使用者以為連到正常的網站。 資安公司 Errata Security CEO Rob Graham 破解了 Superfish 的安全憑證,並且公佈了私鑰,現在任何都能在有安全憑證的機器上發動 HTTPS 中間人攻擊,而這不過花了 Graham 三個小時的時間破解。 聯想說一月時他們就與 Superfish 終止合作了,但是早先的機種仍舊有這款間諜軟體。聯想 CTO Peter Hortensius 承諾將會盡快推出工具,徹底清除這支惡意程式。目前在聯想的客服網站已經有詳細步驟敘 述如何清除Superfish。
| 
狗仔卡
發表於 2015-2-21 20:25
按個讚
收藏
分享
提升卡
置頂卡
變色卡
