21-02-2015
作者香港特約記者甄樹基
中國品牌聯想
聯想預載軟件
發現有洩密漏洞受影響電腦不在少數
==============================
全球最大電腦生產商聯想Lenovo的手提電腦,
被揭有嚴重安全漏洞。
聯想近月出貨的一批手提電腦預載了一款廣告軟件,
原本作用是針對用戶瀏覽內容打出同類商品的廣告,
但網絡保安專家發現,該軟件很易被黑客利用,
竊取密碼和各種敏感資料。
聯想日前表示已停止啟動該款軟件,並提供永久移除軟件的方法。
聯想的技術部門主管Peter Hortensius接受華爾街日報的訪問時表示,
一旦當解除程式完成之後,聯想將會向用戶發出移除工具,
可以將整個有問題的Superfish軟件剷除。
據美國福布斯雜誌報導,聯想指該款叫Superfish的軟件,
任務是實時分析電腦用戶上網期間看到的商品圖片,
然後打出“相同或類似、而價格可能較相宜的產品廣告”。
聯想強調,Superfish並不追踪用戶,
也不蒐集任何可用來辨認用戶身份的資料。
報導指,
預載Superfish的手提電腦數目不詳,
聯想只說在去年9月至12月間,
付運了“一些”有該軟件的手提電腦。
不過涉及的電腦數目估計不少,
事關聯想在去年第四季付運超過1600萬部手提及個人電腦。
聯想指今年1月已停止軟件的啟動,
原因是用戶投訴太多彈出式(pop-up)廣告。
但報導指,
Superfish帶來的問題,絕不只是廣告擾人,而是削弱網絡保安。
安全專家本週指出,Superfish“必預阻截網絡數據流通,才能夠加插廣告”,
這就如同竊聽一樣。
在網上傳輸敏感資料,包括網購、使用網上銀行和電郵時,
大都會用HTTPS(超文本傳輸安全協議)將資料加密。
而要啟動這功能,伺服器需有數碼憑證,
好讓用戶端認得伺服器端真實身份,
但先決條件是核發憑證的機構,
是要受到信賴的憑證頒發機構。
為了讓Superfish運作,聯想自我簽發安全憑證,
如此一來就可查看用戶的網絡交通和加入廣告。
這亦令Superfish當上了憑證頒發機構,
能夠決定信任哪些加密通訊。
令問題更嚴重的是,
Superfish在每部電腦重複使用同一份安全憑證,
因此黑客只要破解到Superfish用來簽發安全憑證的“私鑰”,
就可自行簽發安全憑證;
然後黑客就可在公共網絡(例如在咖啡店內的公共WiFi),
直闖使用同一網絡的聯想手提電腦,盜取敏感資料。
儘管暫時未有證據顯示有黑客利用這漏洞來竊取資料,
但日前有人已破解Superfish的私鑰並在網上公佈,
意味確實有被竊資料風險。
設於美國加州矽谷和以色列的Superfish公司,
暫未回應有關問題。
而聯想最初仍為此安全漏洞而強辯,
稱內部調查未發現“安全問題”,
但其後已把有關句子自聲明中刪除。
發言人滕格勒日前承認:
“我們並非說(預載Superfish)不是錯誤。它確有不足。”
聯想正檢討有關程序,
並發布了移除該軟件和有關加密驗證的詳細指引。
===============================================
中國國有公司“中糧集團(Cofco)”
新近收購
國際著名農產品經營商來寶集團(Noble Group)51%股份,
來寶將成為中糧集團的國際平台
======================================================
===================================================
英國報章報道說,
英國政府擔心中國間諜竊聽機密,
決定拆除中國電訊巨頭華為公司提供的一些會議視頻設備。
報道說,
英國內政部、司法部和檢察部門
都已經停止了使用由華為公司生產的設備。
這一事件的發展受到英國媒體的關注。
===============================================
