设为首页收藏本站
开启辅助访问

天涯小站 2.0

 找回密码
 注册
搜索
天涯小站 2.0 首页 拾萃 科技网络 查看内容

昨夜雨:联想电脑公司的“超鱼”丑闻

2015-2-21 07:18 AM| 发布者: 昨夜雨| 查看: 1784| 评论: 37|原作者: 昨夜雨|来自: 小站空间

摘要: 欢欢喜喜的过年时候,联想电脑公司却爆出一个“超鱼”丑闻。因为我曾经在小站推荐过他们的电脑,所以不得不去读一读有关信息,并且在这里做一个交代。 一. 如何确认你的电脑是否躺枪 首先,这个丑闻所涉及的电脑型 ...
欢欢喜喜的过年时候,联想电脑公司却爆出一个“超鱼”丑闻。因为我曾经在小站推荐过他们的电脑,所以不得不去读一读有关信息,并且在这里做一个交代。
 
一. 如何确认你的电脑是否躺枪
 
首先,这个丑闻所涉及的电脑型号如下:
 
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30
 
从去年6月份开始,就已经有人开始抱怨联想电脑上出现的“超鱼”广告。所以预装“超鱼”的时间大致上是去年中期到今年一月。如果要判断自己的联想电脑是否被安装了“超鱼”,可以用IE访问以下网址:
 
 
如果你的电脑上除了IE之外,还有火狐。请用火狐访问上面的网址。其他浏览器和IE共享了一定的系统设置,所以只要用其中一种浏览器就可以确认。
 
二. “超鱼”是干什么的?
 
“超鱼”是一家通过做图像搜索来卖广告的公司,曾经被《福布斯杂志》评定为最有潜力的64家新科技公司之一。公司在加州硅谷和以色列的特拉维,显然是一家以色列人开的公司。据称,他们产品的工作原理是,通过分析屏幕上的内容,尤其是图像内容,来判断那些产品会吻合你的需求,以发送带有送针对性的广告。好像所针对的主要是谷歌搜索结果,而发送的广告也是出现在谷歌网页上。据称还有使用弹出广告。
 
实际上,谷歌一直很鼓励基于谷歌搜索基础上的内容再开发。谷歌一向公开提供搜索网页的接口流程,让全球的开发商进行数据整合。在某种意义上说,“超鱼”也可以算是这一类的产品。
 
但是“超鱼”显然走了邪门旁道。它不是直接和谷歌合作,不是直接在市场上与其他的开发商竞争,而是跑到电脑厂商这边,试图先走一步,把自己的产品偷偷摸摸地塞给用户。
 
三. “超鱼”可恶在哪里?
 
在眼下的商业社会里,卖广告并不可恶。可恶的是偷偷摸摸地卖广告。
 
我没有用过“超鱼”产品,甚至也没有见到过“超鱼”广告的截屏图片。所以我不知道他们是否在网页上明确标志了哪个部分是属于他们的广告,哪个部分属于谷歌的广告。只是从相关的评论中看,好像他们并没有对他们的广告内容加以标识。
 
但是最可恶的还不是在卖广告上,而是他们不负责任地采用了另外一家以色列公司Komodia开发的针对加密数据流的“截流”技术。这个技术的核心,就是在用户可能不知情的情况下,把自己的软件安插在用户和搜索服务器之间,在数据流通过的时候进行实时的解读和加工。
 
在网络上,所有的数据都要经过一道又一道的硬件或者软件设备。在这个过程中,有时数据要加密,有时要解密。虽然用户不一定知道很多细节,但是基本上需要有一个信赖链。比如说要翻墙的时候,我们可能自己安装一个代理软件,或者找一个代理网站来帮助我们进行加密/解密的操作。又比如说,当我们需要对数据加密的证书进行认证时,我们可能自己说了算,也可能找一个有公信度的认证公司对相应的证书进行认证。无论什么情况,作为顾客我们自己需要知情,需要自己做主。“超鱼”的做法,往轻里说,是越俎代庖。往重里说,是欺骗顾客。
 
还有一点,“超鱼”通过“走后门”,不仅把软件预装到顾客电脑上,而且获得了联想电脑公司的许可,通过安装自签证书,获得了用户电脑证书的最高信赖。在行使这个权限的时候,采用非常简单的密码,对用户电脑证书的信赖链造成了很大的风险。“超鱼”的这个草率做法,可能起源于Komodia公司。

“超鱼”安装在用户电脑上的那个自签证书不应该被当作假证书,在性质上自签证书也还是一份真实有效的证书,而且那个证书的权限很高,属于CA(certificate authority)级别。自签的意义是说,这份证书由电脑的主人说了算,而CA级别表明这份证书还可以用来签发其他证书。而实际上顾客并没有给出这样许诺的意愿,是“超鱼”和联想替代顾客做了这样的承诺。因为是CA级别,如果别人盗窃了这个证书和密码,就可以用来签别的假证书,回过头来欺骗这台电脑。现在已经证明那个证书很容易被盗窃,而且密码已经被破解。发生危险的是衍生出来的假证书,如果用在进攻带有这个自签证书的电脑,那么这台电脑有就会认定这个假证书是可靠的,因而导致了HTTPS保密通讯的全面瓦解.

四. 联想电脑公司的错在哪里?
 
电脑硬件公司在生产廉价低端的电脑时,利润往往比较低。弥补的办法之一,就是和软件开发商合作,预装不同的软件,以期通过硬件以外的软件或者其他服务的销售,获得一些利益。不是说不能预装软件,关键在于,电脑硬件公司在这些交易中,必须恪守一定的道德标准。比如说,要以顾客的利益为重,包括用户使用方便、用户隐私保护等等。否则迟早会伤害到自己。在这个例子里,明显的是大公司带着小公司玩,就像大人带孩子到了公共场所,孩子闹事,是大人的责任。
 
我相信联想公司在“超鱼”交易中犯了一个很大而且很低级的错误,就是在对“超鱼”的产品情况不是十分了解的情况下,不仅预装了他们的软件,而且居然通过允许安装“超鱼”的自签证书,把用户电脑证书的最高信赖交给了“超鱼”。事实上,如果他们要求“超鱼”和其他的开发商一样,都采用有公信力的认证公司所签发的证书,而不是自签证书,这个问题的严重性就会小很多。
 
联想电脑公司的另外一个错误,就是在事件被披露之后,不是认真调查研究,而是试图忽悠媒体、忽悠消费者。结果越抹越黑,越陷越深。但是我相信他们现在终于找到了一个合适的处理方法,就是帮助顾客把“超鱼”软件及签发证书的能力从用户电脑上彻底去掉。
 
五. 怎样清除“超鱼”软件及相关证书
 
主要做两件事,其实都不太难。所以如果你的电脑属于受害者,需要马上做。因为现在“超鱼”的自签证书密码已经被破解了。如果不把那个破证书删除掉,迟早会吃亏。
 
1. 从控制板上,把“超鱼”软件卸载掉。
 
2. 到电脑证书的管理界面上,把“超鱼”证书删除掉。
 
因为我手头没有受害的电脑,所以也没有办法做截图。联想网站上有两个很好的链接:
 
 
媒体中常常会因为种种原因,对事件的报道中有不正确或者不完整的地方。在“超鱼”丑闻中也是这样。
收藏 分享 邀请
上一篇:炉匠:情人节扫货记下一篇:waspking: 小蜜眼中的花色
发表评论

最新评论

引用 2015-2-24 07:39 PM
昨夜雨: 蜂教授,你这些问题我是不是在新的那篇日志里都回答了呢?怎么你不露个面来交流一下呢?
another one? did not see it.
引用 2015-2-24 07:36 PM
waspking: https://nakedsecurity.sophos.com/2015/02/20/the-lenovo-superfish-controversy-what-you-need-to-know/

"Why didn't a warning pop up?

The answer is ...
蜂教授,你这些问题我是不是在新的那篇日志里都回答了呢?怎么你不露个面来交流一下呢?
引用 2015-2-22 12:58 PM
https://nakedsecurity.sophos.com/2015/02/20/the-lenovo-superfish-controversy-what-you-need-to-know/

"Why didn't a warning pop up?

The answer is that, at install time, the Superfish software vouches for itself to Windows by setting itself up as a trusted Certificate Authority.

Now it can create fake certificates for any site it likes, at any time, and then unilaterally sign those certificates to make them trusted, too"
引用 2015-2-22 11:55 AM
昨夜雨: 这个就是联想开始不太重视的原因吧。事实上,你的电脑上有这个假证书(Bank of America)的机率很小很小,除非你已经访问了一个已经安装了假证书的网站。 ...
不是这样。 每次你访问一个要加蜜的网站, 超鱼都给Browser一个假的, 这样Browser不去追究了(所以对方是假的, 你的电脑也说没有事)。 这个估计你要装一个超鱼, 才会相信我。 也不知为啥超鱼会这么烂。 我也不大相信。

“ When a user visits an HTTPS site, the site certificate is signed and controlled by Superfish and falsely represents itself as the official website certificate.”

“When Palmer visited https://www.bankofamerica.com/, he found that the certificate presented to his browser wasn't signed by certificate authority VeriSign as one would expect, but rather by Superfish.”
引用 2015-2-22 11:29 AM
waspking: 但是, 目前应该没有人破改并利用(研究人员除外)。 这个是被Infected的电脑上的。 我自己的电脑应该也有这个。
这个就是联想开始不太重视的原因吧。事实上,你的电脑上有这个假证书(Bank of America)的机率很小很小,除非你已经访问了一个已经安装了假证书的网站。
引用 2015-2-22 11:24 AM
昨夜雨: 下面的这幅图片说明,这份假证书是用被破解的超鱼证书签发的(Issued by)。
[img]https://hackadaycom.files.wordpress.com/2015/02/fake-certificate.jpg[/img ...
但是, 目前应该没有人破改并利用(研究人员除外)。 这个是被Infected的电脑上的。 我自己的电脑应该也有这个。
引用 2015-2-22 11:04 AM
waspking: 那个网站并不是用超鱼的Certificate, 所以不是100%正确。只是用了一个假的Certificate, 超鱼都会通过, 但是电脑有别的问题也会通过, 所以评论说那个不是很准 ...
下面的这幅图片说明,这份假证书是用被破解的超鱼证书签发的(Issued by)。

引用 2015-2-22 12:18 AM
昨夜雨: 记住:这个“bad certificate”必须是用超鱼的CA证书签的,才能骗过装有超鱼CA证书的电脑。这里有两个必要条件,但超鱼软件本身在这里却不是必要条件。 ...
那个网站并不是用超鱼的Certificate, 所以不是100%正确。只是用了一个假的Certificate, 超鱼都会通过, 但是电脑有别的问题也会通过, 所以评论说那个不是很准。

后来一个更好的Test是你说的这样, 可以100%知道你是不是有超鱼(对方用了超鱼的Certificate)。
引用 2015-2-22 12:06 AM
waspking: 我想被Infect以后, 这个就不成立了。。。

http://hackaday.com/2015/02/19/lenovo-shipped-pcs-with-spyware-that-breaks-https/

有一个大一点的照片。 超鱼 ...
还是在我说的两个条件里面。

而且这幅图片我上面已经提到过了。
引用 2015-2-22 12:00 AM
昨夜雨: 看我上面的关于CA签发/认证范围的答复。
我想被Infect以后, 这个就不成立了。。。

http://hackaday.com/2015/02/19/lenovo-shipped-pcs-with-spyware-that-breaks-https/

有一个大一点的照片。 超鱼给BOA作了一个假的证书, 因此这个电脑就相信了证书。
引用 2015-2-21 11:48 PM
waspking: 你是对的, 那是我自己的理解, Blog没有说这么详细。 刚才去看了关于SSL如何工作的, 是你说的这样。 但是这个超鱼自己是CA, 而且他并不check对方的Certificat ...
看我上面的关于CA签发/认证范围的答复。
引用 2015-2-21 11:47 PM
waspking: http://security.stackexchange.com/questions/20803/how-does-ssl-tls-work

But a CA can make me trust any server they want! (remember, superfish become  ...
注意:下面这句话是不完整的。

“But a CA can make me trust any server they want!”

CA只能认定自己签发的证书。如果不是这个CA签发的,你也不会跑到那个CA哪里求证。如果你面临的一份证书是Godaddy签发的,而你跑到Verisign那边去求证,Verisign按理说是不会让你相信那个证书是真的或者假的。
引用 2015-2-21 11:42 PM
昨夜雨: 所以你就完全信了那篇文章。

事实上我们的电脑里并没有预存所有的“真的证书”。你知道,这是不可能的。我们的电脑里,或者在安装操作系统或者在安装浏览器的时 ...
你是对的, 那是我自己的理解, Blog没有说这么详细。 刚才去看了关于SSL如何工作的, 是你说的这样。 但是这个超鱼自己是CA, 而且他并不check对方的Certificate(因为中断了, 其实可以继续Check, 但是设计没有这样), 这点我相信。

另外, WIN安装时有不少CA在电脑里面了。 这些都不被清除。 我看到我的有20多个Certifcate。
引用 2015-2-21 11:42 PM
waspking: 这个已经有很多网站都作为测试了!
就是用一个假证书, 如果Browser不warn, 直接连上, 就是被SuperFish污染了。
就是这个电脑并不知道哪个是真的, 那个是假 ...
你没有注意到吗?在test中,都是先用超鱼的CA证书签发一份假证书,然后才开始test。

你最好能找到一个不是用超鱼CA证书签发的假证书来test。
引用 2015-2-21 11:37 PM
waspking: 不是这样。 如果有一个假的网址, 说是Bank Of America, (URL差一点), 但是他的证书肯定是假的。 你的电脑里面有一个真的(上次去过), 但是Superfish并不作 ...
所以你就完全信了那篇文章。

事实上我们的电脑里并没有预存所有的“真的证书”。你知道,这是不可能的。我们的电脑里,或者在安装操作系统或者在安装浏览器的时候,只是预装了合法的正当的CA级别的证书。当我们遇到一个陌生的网站时,简化的对话过程是这样的:

1. 我访问一个陌生网站;
2. 网站送一份证书给我;这个证书告诉我,是哪个CA签发的。
3. 如果签发的CA不在我的预存里,我会收到警告,并且会提示我是否需要去安装那个CA的证书。这种情况极为罕见。如果你安装了,接下来的程序是一样的,如果你拒绝了。就中断来往了。
如果签发的CA在我的预存里,我就可以解读这份证书。然后我把这份证书的一部分送到CA去求证。
4. CA接到这个求证请求,就根据自己预存信息进行核实。然后把核实的结果告诉你。
5. 如果CA说是认证有效,你就与对方建立了联系。如果CA说认证无效,你就会被警告。自己决定是否接受对方的无法通过认证的证书。

这样的过程可以理解吗?

事实上,你每次从对方网站收来的证书有效期都很短。屏幕关掉以后,一般就清除了。所以我们的浏览器几乎天天都要和CA网站打交道,寻求认证。
引用 2015-2-21 11:33 PM
http://security.stackexchange.com/questions/20803/how-does-ssl-tls-work

But a CA can make me trust any server they want! (remember, superfish become its own CA!).

Yes, and that is where the trust comes in. You have to trust the CA not to make certificates as they please. When organisations like Microsoft, Apple and Mozilla trust a CA though, the CA must have audits; another organisation checks on them periodically to make sure everything is still running according to the rules.

Issuing a certificate is done if, and only if, the registrant can prove they own the domain that the certificate is issued for.
引用 2015-2-21 11:24 PM
昨夜雨: 这个图片正是说明我所说的情况。1)那个Bank of America的证书是用超鱼的CA证书签发的。2)这个证书在一台安装有超鱼CA证书的电脑上被认定。你应该看看这篇文章 ...
这个已经有很多网站都作为测试了!
就是用一个假证书, 如果Browser不warn, 直接连上, 就是被SuperFish污染了。
就是这个电脑并不知道哪个是真的, 那个是假的, 都通过了。

你如果不信, 可以下载一个Superfish试试。。。完了再删了。
引用 2015-2-21 11:20 PM
waspking: too bad this photo is so small, but you can see the faked certificate. https://marcrogers.files.wordpress.com/2015/02/boa-large.jpg?w=300&h=225
这个图片正是说明我所说的情况。1)那个Bank of America的证书是用超鱼的CA证书签发的。2)这个证书在一台安装有超鱼CA证书的电脑上被认定。你应该看看这篇文章里的第一幅图片。

你还是没有证明来自超鱼以外的不当来源的假证书被超鱼认定为真证书的情况。
引用 2015-2-21 11:18 PM
昨夜雨: 记住:这个“bad certificate”必须是用超鱼的CA证书签的,才能骗过装有超鱼CA证书的电脑。这里有两个必要条件,但超鱼软件本身在这里却不是必要条件。 ...
不是。 超鱼根本就不对比了。
引用 2015-2-21 11:17 PM
昨夜雨: 我把那一段的内容补充上去了。

你举的例子有点不完整。比如说你有超鱼CA证书,同时你访问一个没有任何证书的网站,不管你是否使用超鱼软件,都不会上当。但是如 ...
不是这样。 如果有一个假的网址, 说是Bank Of America, (URL差一点), 但是他的证书肯定是假的。 你的电脑里面有一个真的(上次去过), 但是Superfish并不作这个比较。。。就回答说对方是真的, 你电脑就相信了。

但是我不懂, 如果第一次去了假的网站, 那么任何电脑都不知道? (无法比较)。

查看全部评论(37)

相关分类

手机版|天涯小站

GMT-5, 2025-12-25 04:56 AM

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

返回顶部