就在本周四,技术业界传出一条爆炸性新闻,据称联想公司已经将一款名为Superfish Visual Discovery的广告程序预装在其具体数量不明的消费级PC设备之上,而该程序所带来的额外本地根证书给受感染设备的用户造成极为可怕的潜在风险。
本周五,微软公司对其Windows Defender软件作出了最新更新,并将其作为Windows 8.x PC设备上的标准化功能配备。此次发布的新版本将以自动化方式安装,能够检测并删除上述违规程序及其证书。
二月二十号的更新当中包含来自Mozilla以及赛门铁克的组件,并添加了关于第三方杀毒软件的更多细节信息。
为了测试整套清除方案的有效性,我从一位安全研究人员处获得了Superfish软件包副本并将其安装在自己的设备之上——这套软件包正是从联想PC产品中提取所得。经过亲身实践,该软件确实会向目标设备添加Superfish应用程序以及存在潜在危险的根证书。
Windows Defender在今天早上对我的虚拟PC进行了扫描,所采用的定义版本则是在凌晨3点时自动更新所获得。遗憾的是,检测结果显示并无异常。在此之后,我用手动方式再次更新到最新定义版本并执行了一次快速扫描,这一回系统检测到了联想证书并建议用户立即将其清除。
在确认清除并重新启动之后,我打开证书管理器并证实违规根证书已经得到彻底删除。
在那些不具备主动以及最新更新版本杀毒软件的系统上,Windows Defender会自动运行并发挥作用。在我所测试的这套系统当中,事件日志显示Windows Defender每一天都会进行数次扫描并完成多轮定义更新。
如果存在其它运行中的杀毒程序,Windows Defender则会被禁用。其不再进行计划内扫描,也无法以手动方式执行扫描操作。来自Ars Technica网站的Peter Bright指出,要想解决联想PC机上存在的问题,消费者必须安装试用版杀毒软件,并保证其具备对Superfish及其违规证书的识别能力。
我们并不能保证其它安全软件制造商的产品都将检测并清除这一高危软件。我曾经安装了赛门铁克最新诺顿安全软件的试用版本,并将其更新至最新定义版本,而后利用其对感染了联想版本Superfish软件的系统进行了一次快速扫描。然而诺顿软件并没能提供任何警告,甚至连赛门铁克的安全响应数据库也仅仅是将Superfish定义为普通广告软件(被分类为低风险)。
而后我又进行了一次全盘扫描,诺顿安全软件同样没能给出任何警示信息。奇怪的是,诺顿日志当中却包含对Superfishcert.dll以及Visualdiscovery.exe的检测过程,只不过这两个文件都被列为“无异常”。
在邮件沟通中,赛门铁克安全响应部门威胁情报官员Brian Ewell指出,他无法解释诺顿软件为何没能检测出这些威胁:
我们已经发布了检测结果,因此在您不了解所运行的定义库版本以及已安装Superfish程序版本的情况下,目前很难断言警报信息为何没有被正确触发。
有鉴于此,我们会根据所遇到的新样本不断更新检测机制,并努力通过其它补救举措解决这一问题。
有一点值得注意:Windows Defender并不会对Mozilla火狐浏览器进行监控,而该浏览器当中同样保留着一份违规证书。在成功运行清除操作之后,我检查了火狐当中所保存的证书并发现该可能引发潜在风险的根证书仍然安装于其中,只有依靠手动方式才能彻底删除。Mozilla公司加密工程经理Richard Barnes通过邮件表示,该公司正“着手调整这一情况”,并将在调查工作完成后提供进一步更新结果。
我的测试系统中并没有安装谷歌Chrome浏览器,因此我还不清楚该浏览器是否同样需要以手动方式完成最终证书清除步骤。由于Chrome使用的是Windows证书存储机制,因此不太可能存在同样的潜在风险,但要得出最终结论、我还是向谷歌方面提出了质询并将在获得回复后给大家一个交代。
(请注意,此次对第三方浏览器的检查是非常必要的,因为我是在火狐浏览器安装完成后才进行Superfish安装。对于那些使用OEM系统、且浏览器安装晚于Superfish安装的用户来说,以上检查可能并非必要。不过,小心一点总不会是坏事。)
最近几个月以来,微软公司一直饱受在Windows安全漏洞响应方面行动迟缓的指责。此次案例的本质区别在于,违规代码并不属于Windows系统本身而且无需进行大量相关测试。对于那些不希望或者说技术水平不足以完成高复杂性手动删除任务的Windows用户来说,Windows Defender这一次的表现可以说是大快人心。
Superfish这一广受诟病且存在潜在危险的软件被预装在2014年9月至12月售出的部分联想消费级PC设备上。如果大家在这一阶段之前购买过联想PC产品,那么基本不必担心受到感染。而今年1月到2月间销售的PC产品仍然有可能于去年第四季度实际出货、只不过在仓库或者店面的货架上多待了几个月,这意味着其中也许仍存在安全风险。