保護你的脖子，VirtualPBX 安全系列——聯想的骯臟小秘密

在本系列博客中，我們將研究信息安全保護傘下的所有主題。從企業失誤到流氓國家攻擊再到偶爾的名人黑客攻擊，我們相信企業和個人可以從任何網絡安全事件中學到一些東西。我們還相信，雖然經驗是最好的老師，但讓其他人為您犯錯更好。

信托銷售

你會從一個被判入室盜竊的人那里買房子嗎？和被吊銷執照的出租車司機一起旅行怎么樣？可能不是，對吧？幸運的是，沒有多少受人尊敬的企業懇求我們放棄我們辛苦賺來的錢，只是為了利用我們對一個好的 ol switcheroo 的信任。好吧，除非你 最近買了一臺聯想電腦，也就是說。

免費包含惡意軟件！

事情可能真的沒有我上面描述的那么糟糕，但這個故事還是相當恐怖。聯想承認預裝了 Superfish某些筆記本電腦的廣告軟件，目的是“幫助客戶在購物時潛在地發現有趣的產品?！比欢?，據稱該軟件的作用超出了公司暗示的范圍。據稱，通過安裝自己的自簽名證書頒發機構，該軟件可以將廣告注入 加密的“https”網站，包括安全的零售或銀行頁面。要是有某種關于 Superfish 之前工作的書面記錄來表明他們的 隱私和安全問題記錄。但讓我們暫時只談聯想……

聯想首席技術官的原始聲明稱，該軟件帶來的盜版和數據泄露威脅只是理論上的。然而，在果斷的反駁中，Errata Security 的首席執行官 Robert Graham 概述了黑客如何準確地（并且投資不多，大約 50 美元）設置惡意 Wi-Fi 熱點以 利用受感染的聯想電腦。是否有人有技術訣竅和動機只花幾塊錢和一些時間來制造這樣一個陷阱是無關緊要的。這個問題的癥結在于用戶不必擔心他們全新設備上預裝的軟件可能會對他們造成傷害。

所以你買了聯想，現在怎么辦？

幸運的是，預裝 Superfish 的硬件出現在從 2014 年 9 月開始的一個相對較小的窗口中的計算機中，此后持續了一個仍然不確定的時期。不確定您的計算機上是否安裝了 Superfish？由于 Lenovo 前兩次糾正該問題的嘗試都是徒勞的，如果您有風險，我會首先建議您進行診斷。為此，有一個非常優雅和簡單的診斷界面，旨在自動檢測 Superfish 和其他類似威脅。只需轉到適當命名的 Badfish 工具，該網站將處理其余的部分。劇透警報-您不希望它說“是的”。如果您的計算機上確實有惡意軟件，您可以檢查 Lenovo 發布的最新更正，但我建議在按照他們的說明重新啟動后返回 Badfish，以確保您的計算機是干凈的。

Aftermath – 展示您的作品以獲得完整的學分

Superfish 實際上是如何促成聯想犯下其中一項（如果不是最嚴重的話）違反消費者信任個人計算時代？總之，科莫迪亞。Komodia 負責提供 Superfish 在其編程中使用的假證書，該證書使它能夠訪問它不應該看到的安全信息。這就是它變得有點可怕的地方，Komodia 的技術很容易受到損害，據稱已被包括財富 500 強公司在內的數百家客戶用于家長控制應用程序或匿名搜索應用程序等應用程序。

如果這還不夠糟糕的話

這意味著，根據 CloudFare 的安全研究員馬克·羅杰斯 (Marc Rogers) 的說法，更多產品。我不確定 Badfish 頁面是否會為安裝了任何類型的家長控制軟件或曾經接觸過 Komodia 產品的每個人檢測到威脅，但很明顯，任何接觸過 Komodia 產品的人都應該開始檢查惡意軟件?，F在。

很抱歉這次要告訴你一些發人深省的消息，但外面是一片叢林。保持安全并記住保護頸部。