|
|
优府网首页 |
|
设为首页 |
|
|
据科技新闻网报道,联想19日表示,将不再预装网络安全专家所称的易于导致设备遭受攻击的恶意软件Superfish,并删除该软件从笔记本上获取的任何数据。
联想发言人周四在一封电邮中称,Superfish将不再被预装到电脑中,自1月份以来该软件已经在市场上所有产品中被禁用。该发言人表示,Superfish被预装到了在去年9月份至12月份出货的消费级笔记本中。
“我们已经对这项技术进行了全面调查,没有发现任何能够证实安全担忧的证据,”该发言人称,“Superfish不会监控用户行为,不会记录用户信息。它不会知道用户的身份。用户不会被追踪或重新锁定。Superfish对用户财产的影响并不大。”
最新科技成果获悉,联想首席技术官彼得·霍腾休斯周四在接受采访时承认,在安装Superfish之前,公司“没有做足够的尽职调查”。但他也表示,公司相信笔记本用户并未受到该应用的伤害。霍腾休斯称,联想已经意识到需要做更多工作来回应消费者的担忧。
网络安全专家昨天表示,Superfish是恶意软件,可被黑客用于发动中间人攻击。
关于Superfish的一些常见问题
联想不希望人们将Superfish称作恶意软件,不过这款软件已被认为是一种恶意软件,或者说广告推送工具。Superfish同时也是这款软件的开发商的名字,该公司位于特拉维夫和帕洛阿尔托。该公司宣称“开发全球最先进、最灵活的视觉搜索技术”,并在《福布斯》杂志美国最具前景公司的排名中位居第64。
从我们目前已知的信息,联想通过Superfish向谷歌搜索结果中插入广告。很明显,这是一种赚钱的好方法。
早在2014年年中,就有用户对Superfish进行了投诉。而随后,进行投诉的用户越来越多。1月23日,联想的一名人士给出了以下说法,试图平息用户的不满:“Superfish只被预装至联想的消费类产品,这一技术以可视的方式帮助用户查找并发现产品。该技术能实时分析网上的图片,展示同样或类似、但价格较低的产品,在用户不知道物品名称,以及如何通过文字来描述的情况下帮助用户搜索图片。”
“Superfish技术完全基于上下文和图片,而与用户行为无关。该技术不会保存或跟踪用户行为,也不会记录用户信息,不会知道用户的身份。用户没有被追踪,也没有被再瞄准。每一次会话都是独立的。在首次使用Superfish时,用户将会看到使用条款和隐私保护政策。如果不接受这些条款,那么Superfish将被禁用。”
这些看起来都没有太大问题,但隐私保护人士担心,Superfish有可能会干扰用户的流量,被用于另一些不可告人的目的。对于未加密流量,即通过Http而不是Https协议传输的流量,Superfish可以向网页中注入JavaScript脚本。
此外用户还担心,Superfish会干扰用户的加密流量,从而在用户计算机上展示广告。在信息安全领域,这被称作“中间人”攻击。如果联想这样做,那么将对外界所知的“证书链”造成破坏。许多网站会向来访的用户提供证书,以证明这些是合法网站,不存在恶意内容。
对于Superfish,有报道称,联想使用了自签名证书,使其看起来是可信的。从理论上来说,Superfish将可以查看用户流量,并以自己期望的方式对其进行修改。根据ErrataSecurity的罗伯特·格雷厄姆的说法,这种方式使得Superfish获得了根认证授权(rootCA)。
信息安全分析师安德里斯·林德表示:“这意味着,Superfish能从浏览器的角度为Facebook或谷歌,以及任何其他使用Https协议的网站生成合法的加密证书。”从隐私保护的角度来看,这样做并不理想。联想有可能滥用这样的权限,对PC用户展开监控活动。
)
