PC、手機、凈化器等漏洞頻出，聯想這些年經歷了什麼

近來網路上一片風起雲湧，勒索病毒頻繁爆發，微軟Win10源代碼泄露，小紅書用戶信息泄露，攝像頭頻被破解，網路安全市場哀嚎遍地。安在（ID：AnZer_SH）最近在關注此類事件同時，無意發現一件有意思的事情。

據澳大利亞AFR網站2013年7月29日報道，澳大利亞、美國、英國、加拿大、紐西蘭五國政府擔憂聯想電腦「容易遭受攻擊」，因此命令其國防部及情報部門禁用聯想電腦。雖是一件舊聞，卻相當值得深究，對此，安在（ID：AnZer_SH）特地去查詢了相關信息。

聯想PC遭英美等國情報部門禁用

據安在（ID：AnZer_SH）檢索到的信息顯示：英國和澳大利亞的情報部門、國防部消息確認，目前有明確的書面禁令禁止在一些特定的網路中使用聯想電腦。報道稱，2005年前後，多項檢測結果均顯示，在聯想電腦的晶元中存在自製「後門」和「漏洞」，隨後一些國家出台了上述禁令。澳大利亞國防部發言人也證實，該國高級信息網路從未被授權使用聯想產品。

到底政府部門為什麼對聯想有此禁令？

據悉，2015年2月21日早間消息，美國政府周五表示，聯想電腦的用戶應當移除某些型號筆記本中預裝的Superfish軟體。這一軟體會帶來信息安全風險。

美國國土安全部也在一條警示中表示，Superfish有可能導致筆記本用戶遭到SSL欺詐攻擊。在這種攻擊中，遠程攻擊者能夠讀取加密的網路流量，將流量從合法網站重定向至其他來源，從而進行欺詐。

這就尷尬了嘛。被政府集體懟可還行。

並且，2015年8月，聯想被爆部分PC存在BIOS安全問題。這項漏洞源於包含了聯想稱之為Lenovo Service Engine（LSE，聯想服務引擎）特性的BIOS固件，實際上也就是採用了微軟的一項Windows機制，此特性存在於不少面向消費用戶的PC產品上。此問題最早是由獨立安全研究人員Roel Schouwenberg指出的。

在和Schouwenberg的合作下，聯想與微軟的確發現，此程序可被黑客利用，包含了「緩衝區溢出攻擊以及針對聯想測試伺服器的攻擊連接」。

聯想等手機被央視點名批評

2014年2月，央視《每周質量報告》中，央視點名了幾款手機易被安全漏洞攻擊。而安在（ID：AnZer_SH）發現聯想赫然在列。

在電視節目中，央視稱，配置一個公共釣魚的免費WiFi，一套無線路由器，黑客就可輕鬆竊取上網用戶的網銀密碼、賬號。手機專家提醒：聯想、小米2、三星Galaxy S4、谷歌的Nexus4及華為等手機機型皆存在易被攻擊的安全漏洞，大家盡量不要用免費WiFi進網銀、支付寶。

安全專家稱，有黑客在商場等建免費WiFi盜取個人信息，應盡量避免使用免費又不需要密碼的WiFi，同時也要留心不要掉入名稱相近的釣魚WiFi陷阱。平常最好關閉手機WiFi自動連接功能，以免自動掃描並連接上不設密碼的釣魚WiFi網路。

呃，點名這幾款手機，是因為它們的用戶量比較大，受害案例比較多的緣故么？

無風不起浪，漏洞的存在並不是秘密，早晚會公之於眾。

而2016年12月，研究人員們又發現，聯想某些廉價的Android智能手機和平板中內置了惡意的固件，這些固件會從手機上收集數據，在軟體上覆蓋廣告，還能下載一些無用的軟體APK。

還有研究員調查了俄羅斯市場中銷售的MTK平台手機，發現了固件中存在的兩種downloader木馬。

這兩個木馬被命名為Android.DownLoader.473.origin和Android.Sprovider.7。他們能夠收集手機數據、連接C&C伺服器、自動更新、根據指令靜默下載安裝其他應用、並且能在手機開機時自動運行。

影響手機列表顯示為：聯想A319以及聯想A6000

恩，看來被央視點名也無可厚非，確實問題不少。

聯想凈化器也爆發漏洞

除去PC、手機，聯想的凈化器也被爆出存在漏洞。

2015年7月，國內安全網路反饋平台烏雲提交了聯想凈化器漏洞。聯想X330空氣凈化器繞過用戶綁定可任意控制他人設備漏洞，這一漏洞危害等級被標註為「高」。

漏洞概要

提交凈化器漏洞的作者宋兵甲對該漏洞的描述為，「使用錯誤的設備密碼調用聯想X330凈化器的特定介面，伺服器會返回正確的密碼，利用這個正確的設備密碼，就可以控制任意在線的X330設備。由於使用了同款APP，該漏洞同時影響到Luftmed多款凈化器設備。」

漏洞是否引起聯想重視

漏洞被爆到底是否引起了聯想重視？

安在（ID：AnZer_SH）查找了大量資料，發現2016年6月，聯想筆記本被曝UEFI零日漏洞可繞過Windows安全機制。獨立安全研究員Dymtro Oleksiuk發現聯想筆記本存在一個未被修復的UEFI零日漏洞，隨後他發現其它一些OEM產品也被波及，包括惠普筆電和技嘉主板等部分產品。這種漏洞存在於多款UEFI固件包里的系統管理模塊(SMM)源代碼中，能夠繞開Windows10內建的設備保護等安全保護機制。

聯想隨後回應稱該漏洞並非來自自家代碼，而是源於Intel提供的IBV(獨立BIOS供應商)代碼。

而Dmytro Oleksiuk則稱這個漏洞並不新鮮，Intel工程師2014年就修復了，不知為何許多廠商的UEFI源碼中包含了老版本漏洞。

2016年6月，聯想周四發表安全公告，稱該公司在超過110個型號的筆記本電腦和台式機中預裝的Lenovo Accelerator Application存在安全漏洞，建議用戶刪除。

恩，只是提醒用戶刪除，後續是否修復並未可知。跟前一陣的勒索病毒如出一轍嘛。我提醒了你這裡有個漏洞，你要記得刪除（或修復）。看見的刪除（或修復）了而僥倖逃過一劫，其餘的就自求多福嘛。

另2016年7月5息，據GitHub消息，一位名為Dymtro Oleksiuk(綽號」Cr4sh」)的安全研究人員宣稱已經在聯想的電腦設備上找到了一處漏洞，該漏洞如果被黑客利用，將能夠改動Windows的基本安全機制。

Dymtro Oleksiuk表示，該漏洞所在的驅動來自Intel，這意味著可能其他OEM廠商的設備也會受此影響，惠普2010年發布的一款Pavilion系列筆記本已經進入了易被攻擊設備名單。值得一提的是，聯想官方曾經私下找過Dymtro Oleksiuk，希望將事情影響減小，然而Dymtro Oleksiuk還是將這一發現公之於眾。

安在（ID：AnZer_SH）想說，在網路越發普及的時代。網路漏洞的存在，簡直是一個產品的致命存在，尤其是比較致命的漏洞。曝不曝只是時間問題，並不是掩蓋了就能相安無事。還是早日找到漏洞並及時修復解決為好。用戶已經越來越注重自身安全，若產品一味追求利益而忽略用戶安全，想必口碑對銷量的影響也是相當巨大。

不管是PC、手機甚至凈化器，每一個產品的安全問題都影響著人們的生活，資金、信息乃至人身安全，切不可忽視。用心做好產品，才能真正令人叫好。

安在

（ID:AnZer_SH）

推薦閱讀：