北京時間2月20日上午消息，本周有報道稱，聯(lián)想在PC中預(yù)裝了名為“Superfish”的軟件，從而向用戶發(fā)送廣告。這一消息引發(fā)了隱私保護人士的憤怒，而許多人已在Twitter上表示了不滿。此外，Superfish也有可能被黑客利用，導(dǎo)致無辜的互聯(lián)網(wǎng)用戶受害。

　　以下是關(guān)于Superfish的一些常見問題：

　　Superfish是否惡意軟件？

　　聯(lián)想不希望人們將Superfish稱作惡意軟件，不過這款軟件已被認為是一種惡意軟件，或者說廣告推送工具。Superfish同時也是這款軟件的開發(fā)商的名字，該公司位于特拉維夫和帕洛阿爾托。該公司宣稱“開發(fā)全球最先進、最靈活的視覺搜索技術(shù)”，并在《福布斯》雜志美國最具前景公司的排名中位居第64。

　　從我們目前已知的信息，聯(lián)想通過Superfish向谷歌搜索結(jié)果中插入廣告。很明顯，這是一種賺錢的好方法。

　　早在2014年年中，就有用戶對Superfish進行了投訴。而隨后，進行投訴的用戶越來越多。1月23日，聯(lián)想的一名人士給出了以下說法，試圖平息用戶的不滿：“Superfish只被預(yù)裝至聯(lián)想的消費類產(chǎn)品，這一技術(shù)以可視的方式幫助用戶查找并發(fā)現(xiàn)產(chǎn)品。該技術(shù)能實時分析網(wǎng)上的圖片，展示同樣或類似、但價格較低的產(chǎn)品，在用戶不知道物品名稱，以及如何通過文字來描述的情況下幫助用戶搜索圖片?！?

　　“Superfish技術(shù)完全基于上下文和圖片，而與用戶行為無關(guān)。該技術(shù)不會保存或跟蹤用戶行為，也不會記錄用戶信息，不會知道用戶的身份。用戶沒有被追蹤，也沒有被再瞄準。每一次會話都是獨立的。在首次使用Superfish時，用戶將會看到使用條款和隱私保護政策。如果不接受這些條款，那么Superfish將被禁用?！?

　　這些看起來都沒有太大問題，但隱私保護人士擔(dān)心，Superfish有可能會干擾用戶的流量，被用于另一些不可告人的目的。對于未加密流量，即通過Http而不是Https協(xié)議傳輸?shù)牧髁浚琒uperfish可以向網(wǎng)頁中注入JavaScript腳本。

　　此外用戶還擔(dān)心，Superfish會干擾用戶的加密流量，從而在用戶計算機上展示廣告。在信息安全領(lǐng)域，這被稱作“中間人”攻擊。如果聯(lián)想這樣做，那么將對外界所知的“證書鏈”造成破壞。許多網(wǎng)站會向來訪的用戶提供證書，以證明這些是合法網(wǎng)站，不存在惡意內(nèi)容。

　　對于Superfish，有報道稱，聯(lián)想使用了自簽名證書，使其看起來是可信的。從理論上來說，Superfish將可以查看用戶流量，并以自己期望的方式對其進行修改。根據(jù)Errata Security的羅伯特·格雷厄姆(Robert Graham)的說法，這種方式使得Superfish獲得了根認證授權(quán)(root CA)。

　　信息安全分析師安德里斯·林德(Andreas Lindh)表示：“這意味著，Superfish能從瀏覽器的角度為Facebook或谷歌，以及任何其他使用Https協(xié)議的網(wǎng)站生成合法的加密證書?！睆碾[私保護的角度來看，這樣做并不理想。聯(lián)想有可能濫用這樣的權(quán)限，對PC用戶展開監(jiān)控活動。

　　隨之而來的信息安全問題

　　站在信息安全的角度，最大的問題可能在于，惡意黑客有可能利用Superfish的加密方式，對其他用戶的流量造成干擾。類似地，21世紀00年代，索尼曾在電腦上安裝工具，阻止用戶盜版其軟件，然而這給黑客留下了后門。

　　如果有人能提取Superfish給證書進行簽名的密鑰，同時與受害者PC處于同一內(nèi)網(wǎng)，例如同一家咖啡店的公用WiFi網(wǎng)絡(luò)，那么可以對惡意軟件進行簽名，使惡意軟軟件順利運行在受害者的PC中。

　　格雷厄姆表示：“對所有計算機來說，這是同樣的根認證授權(quán)。這意味著，連接至同一WiFi熱點的黑客，或是在互聯(lián)網(wǎng)上進行刺探的情報機構(gòu)，可以使用密鑰去干擾Superfish用戶的所有SSL加密連接?！倍@將帶來嚴重的信息安全問題。“因此，Superfish能對你進行‘黑客’活動，或是給其他人的黑客活動提供一個系統(tǒng)?！?

　　盡管這樣的攻擊仍然比較麻煩，且應(yīng)用場景受到限制，但如果攻擊者掌握了必要手段，并且知道聯(lián)想電腦的用戶更傾向于訪問哪些網(wǎng)站，那么仍有可能獲取用戶的數(shù)據(jù)，包括銀行登錄信息和電子郵件等。

　　哪些用戶會受到影響，以及如何應(yīng)對

　　聯(lián)想目前已經(jīng)將Superfish下線，并計劃提供“修復(fù)”。聯(lián)想一名發(fā)言人在電子郵件中表示：“從2015年1月開始，聯(lián)想已經(jīng)從消費類系統(tǒng)的預(yù)裝包中移除了Superfish。與此同時，在當前的聯(lián)想電腦中，Superfish也被禁用。Superfish僅僅被預(yù)裝在部分消費類型號的電腦中，聯(lián)想將對關(guān)于Superfish的所有問題，以及新出現(xiàn)的問題進行徹查?！盨uperfish自身尚未對此做出回應(yīng)。

　　根據(jù)該發(fā)言人的說法，聯(lián)想只在去年9月至12月發(fā)貨的某些消費類筆記本中預(yù)裝了Superfish。Chrome和IE瀏覽器受到了影響，因為這些瀏覽器使用了Windows的可信證書列表。而盡管火狐瀏覽器有著自己的證書提供方，但電子前線基金會也發(fā)現(xiàn)，火狐瀏覽器用戶同時運行的Superfish證書曾多達4.4萬個。

　　如果希望了解自己是否受影響，那么可以查看Windows的可信證書列表。用戶可以打開控制面板，搜索“證書”。這將打開管理員工具，以及相應(yīng)的“管理計算機證書”選項。依次點擊“可信的根認證授權(quán)”選項和“證書”，用戶即可查看證書列表。如果看到有Superfish的證書存在，那么你可能將受到影響。

　　即使用戶能找到這一軟件并卸載，問題也無法徹底解決，因為這樣的操作不會刪除證書。因此，如果擔(dān)心自己的電腦受到Superfish的影響，最好的辦法是備份系統(tǒng)內(nèi)的信息并重裝系統(tǒng)。

　　信息安全專家特羅伊·亨特(Troy Hunt)表示：“我自己近期購買了新的聯(lián)想電腦，而所做的第一件事就是安裝純凈版Windows。只有通過這種方式，你才能確保不會有任何討厭的預(yù)裝軟件，而我也建議任何有此類擔(dān)心的用戶這樣去做。”(邱越)