联想因Super fish再次向客户道歉,并承诺通过多项快速修复和改进,恢复对该公司的信心。
在周一晚间发表的一封致消费者的公开信中,联想首席技术官彼得·霍尔滕修斯表示,该公司对Super fish广告软件造成的问题感到抱歉,并正在与其他公司合作,使客户PC免受软件安全问题的影响。
Super fish预装了2014年9月至2015年2月期间发货的笔记本产品。该广告软件旨在检查用户查询并提供基于这些数据的建议,它包含多个安全缺陷,令用户感到担忧。该广告软件可以拦截SSL和TLS网站连接,然后使用来自Komodia的第三方库来修改Windows网络堆栈,并安装新的根证书管理局(CA)。
超级鱼能够坐在连接的中间,拦截数据包,也有权检查搜索查询,电子邮件,个人信息和网上交易。
据安全研究员菲利普·瓦尔索达(Filippo Valsorda)说,科莫迪亚“被严重破坏”,第三方文库导致超级鱼成为广告软件的“灾难性”片段。安全研究人员的分析表明,Komodia造成了一个安全问题,允许无效和不可信证书的自我签名,导致通信错误,导致浏览器接受证书的有效性,即使它们构成了风险。这反过来又允许劫机者拦截HT TPS连接并进行MITM攻击。
Hortensus表示,联想已经停止预装,今后不会在任何产品上包括Super fish。在发布了手动和自动删除工具杀死广告软件后,公司还联系了微软、McAfee和赛门铁克,更新他们的软件,自动禁用和删除Super fish广告软件。
这位联想高管接着说,该公司“与客户、合作伙伴以及行业观察人士和影响者进行了尽可能快的沟通”,并希望“我们更好地了解情况,更清楚什么是重要的。”联想目前正在制定解决安全问题的“具体方案”,本周将与公众分享。不过,Hortensus目前可以透露,联想正在制定一系列方案,以遏制超级鱼潮,其中包括:
霍滕修斯评论说:
在相关新闻中,在撰写本文时,Komodia.com正遭受分布式拒绝服务攻击。网站上一则公告称:
虽然修补Super fish安全漏洞的计划以及联想的声誉是朝着正确方向迈出的一步,但在法律问题上已经造成了损害。根据Ars Technica的说法,至少有一人已经对联想和Super fish提起诉讼,指控他们“违反了州和联邦的窃听法,侵犯了个人财产,违反了加州的不公平竞争法”。此外,RosenLaw律师事务所要求消费者加入针对这些公司的集体诉讼。