中華民國自由通訊傳播協會

Association For Free Communication

聯想終於道歉 證實筆電預載惡意程式

發表留言

聯想消費型筆電預載惡意軟體SuperFish,恐成中間人攻擊幫兇導致加密傳輸破功,洩露銀行帳號、社交網路個人資料等。專家籲企業進行資產盤點確保安全。

圖片來源:iThome

筆記型電腦大廠聯想(Lenovo)驚爆部分消費型筆記型電腦,因為預載第三方廣告軟體SuperFish,不僅會變更搜尋結果、插入廣告、綁架合 法SSL/TLS連線、造成中間人攻擊,更可外洩使用者包括SSL傳輸的銀行帳戶、社交網路等個人資料。聯想技術長Peter Hortensius於2月19日在官方網站公開道歉,也同步釋出移除工具。趨勢科技全球技術長Rik Freguson則在部落格表示,SuperFish可以藉由蒐集網路資訊、自行生成各種所需憑證,將對企業帶來難以預估的資安風險。

SuperFish風波牽連甚廣,使用者抱怨頻仍

在聯想使用者論壇從2014年9月到今年1月,便陸續有使用者公開表示,部分安裝SuperFish的筆記型電腦都出現挾持用戶電腦的搜尋結果,並擅自置入第三方廣告,還會以假冒的HTTPS根憑證矇騙瀏覽器,進而綁架SSL/TLS連線等類似的惡意行為。

事 實上,聯想用戶iknorr去年9月間就在聯想論壇上反映,他以Chrome瀏覽器使用Google搜尋時,搜尋結果中會被插入廣告。經追查則發現,廣告 來自SuperFish這個廣告軟體,再仔細研究安裝日期,發現竟是內建在自己的聯想電腦中,這個廣告軟體會挾持用戶電腦的搜尋結果,並擅自置入第三方廣 告。

根據聯想事後發出的聲明,該公司的確是在2014年9月開始在部份消費型筆電機型中預載SuperFish。

今年1月,就有使用者zibartsk直言指出,更大的風險在於,SuperFish使用自行簽章的HTTPS根憑證(RootCA),可矇騙瀏覽器、認定為合法網站,並進而綁架SSL/TLS連線。

除了使用者外,也有資安研究員Marc Rogers展示一個由SuperFish冒充美國銀行所發出的憑證,這樣的手法也證明,當該惡意廣告軟體可以透過偽冒的合法網站憑證、欺騙瀏覽器時,也意味著,消費者根本無法信任任何網站。

另外,有資安公司Errata Security安全研究人員Robert Graham解析SuperFish的憑證,僅用了3小時的逆向工程,就破解其加密密碼為komodia。他表示,如果金鑰流傳出去,就可用該憑證進行中 間人攻擊。而Komodia不但是密碼,同時也是一家專門提供SSL「重新導向」工具的公司,另一安全研究人員Filippo Valsorda指出,Superfish的廣告注射功能就是使用了Komodia的SSL攔截引擎。

 

圖片來源:iThome

 

聯想論壇陸續有用戶反應SuperFish的資安風險,用戶zibartsk便在1月16日指出,SuperFish是嚴重的問題,帶來的風險在於,會利用自行簽署的HTTPS根憑證、欺騙瀏覽器為合法網站,進而劫持SSL/TLS安全連線。

自行偽造根憑證,將是企業面臨最大風險

Rik Freguson在部落格分析SuperFish的資安風險,他更將該廣告軟體視為會隱藏在電腦中、偷竊使用者身分資料的間諜軟體(Spyware)。若 進一步分析該廣告軟體特色,最關鍵在於:可以自行蒐集使用者資訊,並安裝自行簽署的根憑證。這類的憑證都是為了確保透過SSL加密傳輸的資訊是安全的,但 是,Rik Freguson指出,透過這些假憑證,SuperFish也可以偽裝成安全、受信任的目的網站,進行中間人攻擊。

這也意味著,SuperFish可以自行產生各種所需的憑證,所有的瀏覽器都會信任使用該憑證的網站都是合法網站;包括各種社交媒體的帳號密碼、銀行帳密,甚至是各種線上交易,都可能因為信任的是假憑證,致使原本應該是加密的資料遭到外洩或被解密。

臺 灣趨勢科技資深技術顧問簡勝財指出,因為SuperFish會蒐集網路流量資訊,偽造根憑證,造成SSL傳輸的資料被側錄、擷取,原本安全的加密資料,都 可能被解密。隨著企業自帶裝置(BYOD)的風氣盛行,企業內只要存在一個可以偽造企業根憑證的裝置或設備,就可能影響到全公司。「這才是企業內面對的最 大風險。」他說。

臺灣賽門鐵克資深技術顧問張士龍則指出,因為SuperFish會監控使用者網路行為,不只會自動插入網站廣告,還可能收集使用者個人資料外傳,「這些行為都會讓使用者個資,暴露在極高的風險中。」他說。

但簡勝財建議,為了確保企業內部自帶裝置的安全性、仍建議做內部資產盤點,確保是否有受到惡意廣告程式感染的聯想筆電,並應儘速移除該惡意程式與憑證,以確保企業內部和使用者的安全。

聯想宣稱ThinkPad系列不受影響,防毒軟體已可偵測移除

聯想也在2月19日新聞稿中解釋,為了提供客戶更好的使用者經驗,所以,在2014年9月~12月出貨的部份筆記型電腦中,預載了SuperFish這個第三方軟體,可以提供視覺化的網路搜尋功能,不需要確切知道或描述產品特徵,就可找到類似的產品。

Peter Hortensius在官網致歉後,他也說,從今年1月後,所有出貨的聯想筆電都已經移除內建SuperFish軟體並關閉伺服器,未來也不會安裝在其他 任何產品;先在2月19日釋出可以手動移除SuperFish的移除程式;並於2月20日釋出可以自動移除SuperFish的移除程式。微軟則將移除工 具整併在Windows Defender 1.193.444.0版。McAfee、賽門鐵克、趨勢科技等防毒軟體業者,則正式將SuperFish視為惡意廣告軟體,可以偵測並移除。

一般而言,這類具有廣告搜尋功能的軟體,多數資安防毒業者會視為灰色軟體,並未直接納入封鎖或移除的惡意程式資料庫中,所以,簡勝財表示,一直到聯想公開致歉並釋出移除程式後,各家防毒軟體公司,才將SuperFish視為具有惡意的廣告軟體。

預 載SuperFish惡意廣告軟體的電腦,都是聯想2014年9月~12月出貨的消費型筆記型電腦,包括:E系列、G系列、S系列、U系列、Y系列、Z系 列、Flex系列、Edge系列、Miix系列及平板電腦Yoga系列。至於主要受影響的瀏覽器則包括:微軟的IE、Google Chrome、Opera、Safari、Maxthon等,Firefox用戶則不受影響。

根據聯想資安通報(Lenovo Security Advisory)LEN-2015-010,此次SuperFish帶來的資安風險範圍,僅限於上述型號的消費型筆記型電腦,該軟體並沒有安裝在聯想桌 上型電腦Lenovo Desktop、商用系列產品:ThinkPad筆記型電腦、ThinkCenter桌上型電腦、ThinkStation工作站、伺服器 ThinkServer及System x等產品線。

 

 

本文轉載自iThome,由黃彥棻、林妍溱發文

報導出處:聯想終於道歉,證實筆電預載惡意程式

廣告

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s