科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全联想称Superfish并无“安全大碍”

联想称Superfish并无“安全大碍”

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

联想的安全通报详细给出了受快鱼(Superfish)SSL劫持影响的笔记本电脑型号,但联想公司的声明称,快鱼是用来“增强”用户的计算体验的。

来源:ZDNet安全频道 2015年2月24日

关键字: 联想 Superfish

  • 评论
  • 分享微博
  • 分享邮件

联想回应Superfish风波发声明表示,他们这种瞄着广告收入而牺牲旗下设备的安全链的核心支柱之一的做法其实是一种让用户“在购物时发现有趣的产品”的努力。

中国硬件制造商联想表示,“我们以后不会预载这个软件。”

联想公司称坊间对由Superfish引起安全问题的担心是不必要的,坊间担心Superfish能够通过一个自签名的根证书劫持SSL/TLS连接,而安装有Superfish的所有联想设备的根证书颁发机构使用的私钥全部是相同的。

联想在声明中表示,“我们已经仔细地研究了该技术,并无发现会引起安全问题的任何证据。”

我们理解用户的反应和对该问题的关注,因此我们马上采取了行动,停止了任何装有此软件的产品的出货。我们会继续评估我们的做法,以确保将用户的需求、体验和优先级放在第一位。“

不过,联想自己发布的安全公告却将事件的严重程度评为高。

该安全公告称,Superfish拦截使用自签名的根证书的HTTPS)网络资料,然后将其存储在本地证书档里。这样做会导致安全问题。”

该安全公告还给出了预装有Superfish的笔记本电脑型号:

  • E系列:E10-30
  • Flex系列:Flex2 14 Flex2 15 Flex2 14DFlex2 15DFlex2 14BTM),Flex2 15BTM),Flex 10
  • G系列:G410G510G40-70G40-30G40-45G50-70G50-30G50-45
  • M系列:Miix2-8Miix2-10Miix2-11
  • S系列:S310S410S415; 触摸式S415S20-30,触摸式S20-30S40-70
  • U系列:U330PU430P触摸式U330,触摸式U430,触摸式U540
  • Y系列:Y430PY40-70Y50-70
  • Yoga系列:Yoga2-11BTMYoga2-11HSWYoga2-13Yoga2Pro-13
  • Z-系列:Z40-70Z40-75Z50-70Z50-75

Superfish漏洞被捅出来后,安全专家Robert Graham只用了几个小时就提取了Superfish的私钥。

Graham表示,“其结果是,我待在咖啡馆的Wi-Fi热点,就可以拦截附近的Superfish受害者(使用联想笔记本电脑的人)的加密通信。”

联想发话称,此次Superfish引起的Windows安全链问题令用户容易收到中间人类型的攻击,但联想并没有在Superfish上获得大的钱财利益。

联想表示,“Superfish的事与钱财利益无关;我们的目标是提升用户体验。”

Superfish能被SSL劫持的行为被揭露后不久,坊间就出现了有关如何从联想设备客户端删除Superfish的简单教程。

Web开发人员和管理员可能会担心联想的用户仍旧在网站上使用Superfish自签的证书,而不是使用正确的SSL证书。Gip发表一个使用教程,只需使用一个HTML Meta标签就可以防止Superfish的运行。

联想CTO Peter Hortensius在接受华尔街日报采访时表示,Superfish引发的安全问题是个“理论问题”。

他表示,“我们也没见到什么邪恶的事发生。我们的信誉即一切,而归根结底,我们的产品为我们建立了信誉。”

微软在一份书面声明中告诉记者,微软“正在对有关第三方问题的报告展开调研工作”。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章