聯想終於道歉，證實筆電預載惡意程式

筆記型電腦大廠聯想（Lenovo）驚爆部分消費型筆記型電腦，因為預載第三方廣告軟體SuperFish，不僅會變更搜尋結果、插入廣告、綁架合 法SSL/TLS連線、造成中間人攻擊，更可外洩使用者包括SSL傳輸的銀行帳戶、社交網路等個人資料。聯想技術長Peter Hortensius於2月19日在官方網站公開道歉，也同步釋出移除工具。趨勢科技全球技術長Rik Freguson則在部落格表示，SuperFish可以藉由蒐集網路資訊、自行生成各種所需憑證，將對企業帶來難以預估的資安風險。

SuperFish風波牽連甚廣，使用者抱怨頻仍

在聯想使用者論壇從2014年9月到今年1月，便陸續有使用者公開表示，部分安裝SuperFish的筆記型電腦都出現挾持用戶電腦的搜尋結果，並擅自置入第三方廣告，還會以假冒的HTTPS根憑證矇騙瀏覽器，進而綁架SSL/TLS連線等類似的惡意行為。

事 實上，聯想用戶iknorr去年9月間就在聯想論壇上反映，他以Chrome瀏覽器使用Google搜尋時，搜尋結果中會被插入廣告。經追查則發現，廣告 來自SuperFish這個廣告軟體，再仔細研究安裝日期，發現竟是內建在自己的聯想電腦中，這個廣告軟體會挾持用戶電腦的搜尋結果，並擅自置入第三方廣 告。

根據聯想事後發出的聲明，該公司的確是在2014年9月開始在部份消費型筆電機型中預載SuperFish。

今年1月，就有使用者zibartsk直言指出，更大的風險在於，SuperFish使用自行簽章的HTTPS根憑證（RootCA），可矇騙瀏覽器、認定為合法網站，並進而綁架SSL/TLS連線。

除了使用者外，也有資安研究員Marc Rogers展示一個由SuperFish冒充美國銀行所發出的憑證，這樣的手法也證明，當該惡意廣告軟體可以透過偽冒的合法網站憑證、欺騙瀏覽器時，也意味著，消費者根本無法信任任何網站。

另 外，有資安公司Errata Security安全研究人員Robert Graham解析SuperFish的憑證，僅用了3小時的逆向工程，就破解其加密密碼為komodia。他表示，如果金鑰流傳出去，就可用該憑證進行中 間人攻擊。而Komodia不但是密碼，同時也是一家專門提供SSL「重新導向」工具的公司，另一安全研究人員Filippo Valsorda指出，Superfish的廣告注射功能就是使用了Komodia的SSL攔截引擎。

聯想論壇陸續有用戶反應SuperFish的資安風險，用戶zibartsk便在1月16日指出，SuperFish是嚴重的問題，帶來的風險在於，會利用自行簽署的HTTPS根憑證、欺騙瀏覽器為合法網站，進而劫持SSL/TLS安全連線。

自行偽造根憑證，將是企業面臨最大風險

Rik Freguson在部落格分析SuperFish的資安風險，他更將該廣告軟體視為會隱藏在電腦中、偷竊使用者身分資料的間諜軟體（Spyware）。若 進一步分析該廣告軟體特色，最關鍵在於：可以自行蒐集使用者資訊，並安裝自行簽署的根憑證。這類的憑證都是為了確保透過SSL加密傳輸的資訊是安全的，但 是，Rik Freguson指出，透過這些假憑證，SuperFish也可以偽裝成安全、受信任的目的網站，進行中間人攻擊。

這也意味著，SuperFish可以自行產生各種所需的憑證，所有的瀏覽器都會信任使用該憑證的網站都是合法網站；包括各種社交媒體的帳號密碼、銀行帳密，甚至是各種線上交易，都可能因為信任的是假憑證，致使原本應該是加密的資料遭到外洩或被解密。

臺 灣趨勢科技資深技術顧問簡勝財指出，因為SuperFish會蒐集網路流量資訊，偽造根憑證，造成SSL傳輸的資料被側錄、擷取，原本安全的加密資料，都 可能被解密。隨著企業自帶裝置（BYOD）的風氣盛行，企業內只要存在一個可以偽造企業根憑證的裝置或設備，就可能影響到全公司。「這才是企業內面對的最 大風險。」他說。

臺灣賽門鐵克資深技術顧問張士龍則指出，因為SuperFish會監控使用者網路行為，不只會自動插入網站廣告，還可能收集使用者個人資料外傳，「這些行為都會讓使用者個資，暴露在極高的風險中。」他說。

但簡勝財建議，為了確保企業內部自帶裝置的安全性、仍建議做內部資產盤點，確保是否有受到惡意廣告程式感染的聯想筆電，並應儘速移除該惡意程式與憑證，以確保企業內部和使用者的安全。

聯想宣稱ThinkPad系列不受影響，防毒軟體已可偵測移除

聯想也在2月19日新聞稿中解釋，為了提供客戶更好的使用者經驗，所以，在2014年9月～12月出貨的部份筆記型電腦中，預載了SuperFish這個第三方軟體，可以提供視覺化的網路搜尋功能，不需要確切知道或描述產品特徵，就可找到類似的產品。

Peter Hortensius在官網致歉後，他也說，從今年1月後，所有出貨的聯想筆電都已經移除內建SuperFish軟體並關閉伺服器，未來也不會安裝在其他 任何產品；先在2月19日釋出可以手動移除SuperFish的移除程式；並於2月20日釋出可以自動移除SuperFish的移除程式。微軟則將移除工 具整併在Windows Defender 1.193.444.0版。McAfee、賽門鐵克、趨勢科技等防毒軟體業者，則正式將SuperFish視為惡意廣告軟體，可以偵測並移除。

一般而言，這類具有廣告搜尋功能的軟體，多數資安防毒業者會視為灰色軟體，並未直接納入封鎖或移除的惡意程式資料庫中，所以，簡勝財表示，一直到聯想公開致歉並釋出移除程式後，各家防毒軟體公司，才將SuperFish視為具有惡意的廣告軟體。

預 載SuperFish惡意廣告軟體的電腦，都是聯想2014年9月～12月出貨的消費型筆記型電腦，包括：E系列、G系列、S系列、U系列、Y系列、Z系 列、Flex系列、Edge系列、Miix系列及平板電腦Yoga系列。至於主要受影響的瀏覽器則包括：微軟的IE、Google Chrome、Opera、Safari、Maxthon等，Firefox用戶則不受影響。

根據聯想資安通報（Lenovo Security Advisory）LEN-2015-010，此次SuperFish帶來的資安風險範圍，僅限於上述型號的消費型筆記型電腦，該軟體並沒有安裝在聯想桌 上型電腦Lenovo Desktop、商用系列產品：ThinkPad筆記型電腦、ThinkCenter桌上型電腦、ThinkStation工作站、伺服器 ThinkServer及System x等產品線。文⊙黃彥棻、林妍溱