联想(Lenovo)承认,在一些消费者笔记本电脑上预装软件,可能会让用户遭受攻击,这“把事情搞砸了”,并表示将很快发布一款工具来删除这些软件。
联想(Lenovo)首席技术官彼得•霍腾休斯(Peter Hortensius)周四接受采访时表示:“我的员工中有一群非常尴尬的工程师。”“他们错过了这个。”
自9月份以来,用户一直在抱怨第三方程序Superfish,该程序将产品推荐注入搜索结果。但直到周三,该计划才被披露打开了一个严重的安全漏洞。
该程序在浏览器使用的受信任证书存储中安装自己的根证书,从而干扰ssl加密的Web流量。然后,当用户访问支持http的网站时,它使用它为这些网站生成SSL证书。这使得它可以在用户和那些安全网站之间充当中间人代理。
安全专家发现,证书的私钥可以通过对软件进行反向工程来恢复,从而使恶意黑客能够在用户连接到公共Wi-Fi热点或受损网络时发起中间人攻击。这一点得到了世界卫生组织Errata Security的首席技术官罗伯特·格雷厄姆的证实设法提取私钥。
Hortensius说,“超级鱼”让使用者容易受到攻击的事实是无法接受的。他说,在这一漏洞被公开披露之前,联想并不知情。
他说,公司正在努力“纠正这种情况”。它已经发布指令它将很快发布一个清理工具,该工具将卸载程序并删除它创建的根证书。该工具最早将于今天晚些时候发布。
联想还在研究如何将该工具作为自动补丁发布,可能通过微软(Microsoft)和McAfee等合作伙伴,而不是依赖用户从其网站上下载。它还在考虑如何从受影响的笔记本电脑的“预加载”中删除软件——Windows部署预加载了存储在隐藏恢复分区的驱动程序和软件,用于工厂重置。
霍腾休斯说,纠正这一错误还意味着建立机制,确保类似事件不会再次发生。“我们将确保对我们预加载的程序有更详细的了解,如果我们认为这些程序容易受到攻击,它们就不会被删除。”
与此同时,联想一直在与浏览器和防病毒厂商联系,讨论解决问题的方法。
浏览器供应商可能会将Superfish根证书添加到他们的黑名单中,这将阻止浏览器信任它,即使它没有被删除。然而,还有其他使用加密的程序,比如VPN客户端,它们依赖于Windows证书存储来建立信任并验证它们收到的证书。如果不删除Superfish证书,这些证书也可能受到攻击。
最初,Firefox用户被认为不受影响,因为Firefox使用自己的证书根存储,而不是Windows中的证书根存储。然而,电子前沿基金会通过其分散的SSL观察站项目发现了44,000个由同一超级鱼根证书签署的中间人证书,该项目从安装了HTTPS Everywhere扩展的Firefox浏览器收集数据。
“这要么表明Superfish也将它的证书注入到Firefox根存储中,要么表明在很多情况下Firefox用户一直在点击由Superfish MITM攻击引起的证书警告,”EFF在一份报告中说博客。
霍腾休斯说:“最终,我们搞砸了。”没有其他的方式来表达。我们不是要躲起来。我们正在尽我们所能来为人们解决这个问题,然后确保这种情况不会再次发生。”
联想表示,Superfish软件只在9月至1月期间通过零售店销售的一些消费者笔记本电脑上安装。在收到用户的负面反馈后,该公司停止了软件的预加载,并要求Superfish远程关闭现有安装的服务。
然而,虽然这阻止了侵入性的产品建议,但它并没有删除它创建的软件或根证书。事实上,联想证实,即使手动卸载软件,也会留下根证书,从而留下漏洞。这就是为什么该公司计划发布单独的清理工具。
可能预装了Superfish软件的笔记本电脑包括该公司的G系列、U系列、Y系列、Z系列、S系列、Flex系列、MIIX系列、YOGA系列和E系列。潜在影响模型的完整列表在这里。