2015年2月19日,联想笔记本电脑搭载预装了被称为”Superfish”广告软件的硬盘的事件遭到曝光,而两大主要问题也随之而来。
其一,在2014年9月到2015年2月这几个月内,联想指定的硬件制造商持续将预装了广告软件的硬盘装载到消费笔记本电脑内。
其二,则与Superfish的运行行为有关。该广告软件能够生成自签名证书,可能允许恶意第三方拦截SSL/TLS连接,更简单地说,就是在网页浏览器会话内添加“https”链接。
Learn how digital certificates and 'HTTPS' keep your online life secure through encryption. http://t.co/gjOBQrEaYO
— Kaspersky (@kaspersky) May 7, 2013
现在,让我们通过观察Superfish的实际行为来更详细地剖析第二个问题。
下方是通过IE浏览器访问的一家网上银行网站的截图,并且使用的是一台没有安装任何广告软件的干净PC电脑。点击锁定图标,显示的是SSL证书的信息:
SSL证书由CA证书授权中心签发,确保网站的归属性。比如,VeriSign作为SSL证书的签发机构保证了”Japan xxxx BANK Co,Ltd.”的真实身份。该证书还被用于对加密会话上的用户ID或密码进行加密。因此连接的安全性得以通过这一方式得到保证。
第二个截图显示的是同一家网站。但这次却使用了已感染Superfish广告软件PC电脑上的IE浏览器访问。点击后清楚显示”Superfish”取代”VeriSign”成为了SSL证书的签发机构。
为什么会有这样的变化?原因在于Superfish在其软件上拥有自己的CA证书授权中心。这使其能够劫持用户的网页会话、生成自签证书并在使用后建立SSL连接。不幸的是,网页浏览器将Superfish生成的证书当作合法证书对待。因此,CA证书授权中心变成了Superfish,而不再是VeriSign。
此外,生成证书的私人密钥被包含在了软件内,任何人都可以随意获取。而密钥的密码已被外泄到互联网上。一旦密钥-密码匹配成功,任何怀有不良企图的人都可以拦截通过加密连接传输的数据,或直接注入恶意代码。最糟糕的情形是来自网上银行网站的网页会话内的数据被窃取。
We're sorry. We messed up. We're owning it. And we're making sure it never happens again. Fully uninstall Superfish: http://t.co/mSSUwp5EQE
— Lenovo United States (@lenovoUS) February 20, 2015
因此我们强烈建议预装了Superfish广告软件的联想笔记本电脑用户将名为”Superfish Inc. Visual Discovery” 的软件(在Windows控制版面内卸载)和Superfish证书(从受信任的Root认证机构清单中删除)全部清除。
强烈建议预装了#Superfish广告软件的#联想笔记本电脑用户将#广告软件和证书全部清除
Tweet
卡巴斯基安全产品能帮助您识别笔记本电脑是否已受到Superfish广告软件的感染。我们的产品完全能删除并未识别为病毒的广告软件:AdWare.Win32.Superfish.b。
此外,联想也在其安全公告(LEN-2015-101)内提供了自动删除Superfish工具的下载。