TNW中文站 2月21日报道

日前有媒体发现，在2014年9月到2015年1月期间购买的联想消费级笔记本电脑中被植入了一个名叫“Superfish”的广告应用。这款不请自来的广告程序会在用户首次激活新购买联想电脑的时候自动安装，并且会以中间人的方式劫持SSL链接，同时在未经用户许可的情况下影响IE和Chrome等浏览器在谷歌(微博)等搜索引擎上的搜索结果。

这款应用就本身而言本没有什么坏处，但它却有着一个比较致命的缺陷，那就是Superfish会为自己颁发一个可信赖证书，然后在系统中安装带有自己签名的CA证书，该证书允许这一软件对包括银行、Facebook网站等安全连接进行嗅探。这也就意味着，如果该软件出现安全漏洞将可能会造成更为严重的外部攻击

Superfish公司位于加州帕洛阿尔托，该公司CEO阿迪-平哈斯(Adi Pinhas)日前在发送给TNW的电子邮件中表示，Superfish之所以会以中间人的方式劫持SSL链接主要是因为谷歌在去年默认开启了SSL连接协议，这就意味着Superfish无法继续在谷歌搜索结果中显示自己的广告内容。

当TNW问及平哈斯Superfish是否为自己颁发了一个可信赖证书这个问题的时候，平哈斯并没有给出正面回应，仅仅是表示Superfish在安装的时候会跳出一个选择界面，而用户也完全可以选择拒绝同意Superfish的请求。

令人颇为沮丧的是，无论是平哈斯还是Superfish公司本身似乎都没有意识到此举会对终端用户的安全性造成多大的影响。

“我们昨天了解到了这一证书安装方面的潜在问题，而我们也对用户发现的这一潜在安全风险感到惊讶。”平哈斯说道。

平哈斯透露，目前有超过4000万的设备安装了Superfish，而Superfish和联想都对双方这一合作关系的前景感到兴奋，但他并未透露这一问题是否涉及到了联想之外的其他品牌设备。不过据TNW得到的消息称，该公司此前就曾收到过有关这一问题的用户抱怨。在另一方面，联想公司则正在进行危机公关，以尽可能减小此次事件的影响。

据悉，Superfish最早成立于2006年，在经过了四年的研发后才发布了自己的首款产品。去年，该公司刚刚开始进军全新的应用开发领域。应该说，Superfish在这一广告应用中所使用的技术是非常先进的，因为该应用内置的算法可以帮助用户找到和发现产品，并且可以在搜索引擎中对购物进行图片分析、搜索以找到更低的价格。但是，如果这一技术威胁到了用户安全的话，无论该技术多么先进恐怕都不会得到消费者的认可。

更让人难以接受的是，这家公司不仅在终端用户处创造了一个危险的安全漏洞，同时竟然还认为自己的做法是完全正确的。在此之前，联想和Superfish均表示这一应用的最终目的是改善用户的实际使用体验。（汤姆）