中國最大筆電製造商聯想(Lenovo)被爆在筆電中預載Superfish的Visual Discovery廣告軟體,這個軟體不但會擅自在瀏覽器中呈現廣告,還會冒充合法網站的SSL憑證而讓用戶曝露於中間人攻擊的風險。在引起軒然大波之後,聯想對外致歉並釋出移除工具。早在2014/9於聯想論壇,暱稱為iknorr的用戶就在論壇上反映,他以Chrome使用Google搜尋時搜尋結果中會被插入廣告。經過追查發現,廣告來自Superfish的廣告軟體,再仔細研究安裝日期,發現竟是內建在自己的聯想電腦中,這個廣告軟體會挾持用戶電腦的搜尋結果,並擅自置入第三方廣告。根據聯想事後發出的聲明,該公司的確是在2014年9月開始在部份消費型筆電機型中預載Superfish。
Superfish主要影響微軟的Internet Explorer與Google Chrome兩款瀏覽器,Firefox用戶則不受影響。2015/1聯想曾經說明指出,預載的Superfish可分析網頁上的圖片,主要是要協助消費者視覺化搜尋,讓用戶無需確切知道或描述產品特徵就可找到類似的產品。但實際上Superfish除了在未經使用者同意之下擅自於搜尋結果中插入廣告之外,還有其他相當危險的功能。安全研究人員Marc Rogers於2/19在其部落格上表示,Superfish具備的功能包括了會綁架合法連線、監控使用者活動、蒐集個人資料並上傳到伺服器,將廣告注入合法網頁、以廣告軟體展示跳出視窗、使用中間人攻擊破解開放的安全連線,並提供冒充的合法網站憑證等。這意味著,消費者根本無法信任任何網站。他並展示一個由Superfish冒充美國銀行所發出的憑證。同時,資安業者Errata Security的安全研究人員Robert Graham也分析了Superfish使用的憑證,僅花三小時進行逆向工程即破解其加密密碼為komodia。他表示,如果金鑰流傳出去,就可用該憑證進行中間人攻擊。消息曝光之後,引發媒體撻伐及消費者的強大反彈,並已有聯想用戶串連向美國南加州地方法院對聯想提出集體訴訟。
聯想技術長Peter Hortensius於2/19發表聲明公開道歉,但強調只在特定的消費型筆電機型上預載Superfish,預載Superfish的僅包括G、U、Y、Z、S、Flex、MIIX及Yoga等系列的特定機種,聯想並從未在任何ThinkPad筆電、桌機、平板、智慧型手機或伺服器安裝Superfish。聯想已從2015/1起停止預載Superfish,並關閉伺服器連線,另外還提供移除工具,並且和微軟及McAfee合作更新安全軟體,以移除及隔離Superfish並自動修補這項漏洞。美國國土安全部(US Department of Homeland Security, DHS)也特別發出安全警告指出,聯想電腦預載的Superfish廣告軟體漏洞會導致HTTPS連線被監聽,並建議立即移除相關軟體及憑證。