聯想預載軟件發現有泄密漏洞受影響電腦不在少數

聯想的技術部門主管Peter Hortensius接受華爾街日報的訪問時表示，一旦當解除程式完成之後，聯想將會向用戶發出移除工具，可以將整個有問題的Superfish軟件剷除。

據美國福布斯雜誌報道，聯想指該款叫Superfish的軟件，任務是實時分析電腦用戶上網期間看到的商品圖片，然後打出“相同或類似、而價格可能較相宜的產品廣告”。聯想強調，Superfish並不追蹤用戶，也不搜集任何可用來辨認用戶身份的資料。

報道指，預載Superfish的手提電腦數目不詳，聯想只說在去年9月至12月間，付運了“一些”有該軟件的手提電腦。不過涉及的電腦數目估計不少，事關聯想在去年第四季付運超過1600萬部手提及個人電腦。聯想指今年1月已停止軟件的啟動，原因是用戶投訴太多彈出式（pop-up）廣告。

但報道指，Superfish帶來的問題，絕不只是廣告擾人，而是削弱網絡保安。安全專家本周指出，Superfish“必預阻截網絡數據流通，才能夠加插廣告”，這就如同竊聽一樣。

在網上傳輸敏感資料，包括網購、使用網上銀行和電郵時，大都會用HTTPS（超文本傳輸安全協議）將資料加密。而要啟動這功能，伺服器需有數碼憑證，好讓用戶端認得伺服器端真實身份，但先決條件是核發憑證的機構，是要受到信賴的憑證頒發機構。

為了讓Superfish運作，聯想自我簽發安全憑證，如此一來就可查看用戶的網絡交通和加入廣告。這亦令Superfish當上了憑證頒發機構，能夠決定信任哪些加密通訊。

令問題更嚴重的是，Superfish在每部電腦重複使用同一份安全憑證，因此黑客只要破解到Superfish用來簽發安全憑證的“私鑰”，就可自行簽發安全憑證；然後黑客就可在公共網絡（例如在咖啡店內的公共WiFi），直闖使用同一網絡的聯想手提電腦，盜取敏感資料。儘管暫時未有證據顯示有黑客利用這漏洞來竊取資料，但日前有人已破解Superfish的私鑰並在網上公布，意味確實有被竊資料風險。

設於美國加州矽谷和以色列的Superfish公司，暫未回應有關問題。而聯想最初仍為此安全漏洞而強辯，稱內部調查未發現“安全問題”，但其後已把有關句子自聲明中刪除。發言人滕格勒日前承認：“我們並非說（預載Superfish）不是錯誤。它確有不足。”聯想正檢討有關程序，並發布了移除該軟件和有關加密驗證的詳細指引。