联想 CTO:我们为什么要预装 Superfish

oschina
 oschina
发布于 2015年02月26日
收藏 9

联想集团CTO彼得·霍腾休斯(Peter Hortensius)近日就预装Superfish一事接受了《纽约时报》专访,就此事发生的原因做出了解释,并公开道歉,还透露了该公司的一些解决方案。在 用户发现这家全球最大PC制造商预装了Superfish广告软件,并将其隐藏在用户和杀毒软件难以发现的地方后,舆论哗然。但更加糟糕的是,这款广告软 件虽然只是为了给用户发送精准广告,但达成这一目的的方法却是劫持网站用来与浏览器建立安全连接的授信证书。Superfish的这种做法可能导致用户的 电脑被黑客攻击。

联想集团CTO彼得·霍腾休斯(Peter Hortensius)

Superfish并没有作出回应,但联想上周发布了自动删除工具,帮助用户从联想产品中彻底删除Superfish,但用户和安全研究人员表示,这似乎仍然不足以挽回局势,人们今后难以继续信任联想。

以下为采访概要:

问:Superfish是怎么安装到联想电脑中的?

答:最初的动机是产品团队想要改善用户体验。有人希望通过一种新颖方式提升用户的购物体验,例如,当用户寻找一款桌子时,我们能否为他们推荐另外一款类似的桌子?我们其实是为了改善用户体验。但事后看来,如果我们当初知道具体的部署方式,肯定不会预装Superfish。

问:最初就此事向我发出警告的彼得·霍恩(Peter Horne)表示,他曾经在1月中旬通过你们的客服渠道将这个安全问题通知给联想,但至今没有任何反馈。你们最早是什么时候知道用户不接受这种行为的?什么时候出采取了行动?

答:我们最早去年12月接到了投诉,但主要是关于网络兼容性的。客户当时说:“我做了这个,但却得到了那个,出了什么情况?”今年1月,我们认为Superfish无法提供我们最初预想的体验。那时,我们关闭了Superfish,还关闭了他们的服务器。

不幸的是,安全问题的根源不在这里,而在于这款软件创建的证书。我们直到上周四才知道此事。

问:可是霍恩在1月中旬就将此事告知联想,那是6个星期前的事情了。

答:我们那时是从网络兼容性的角度来回应这一问题的,而不是安全角度。你可以对这种做法的对错加以评判,但事实的确如此。我们当时以为关闭服务器就能解决问题,所以采取了那种措施。我们那时认为,Superfish用处不大,所以才开始将它从预装软件中剔除。

问:质量保证流程为什么没有发现这个问题?什么样的质量保证流程会允许在联想设备中安装这种广告软件?

答:按 照高标准来讲,负责审核预装软件的人员会与市场部的人碰面,告诉他们:“我们想做这些事情。”然后,他们会与工程团队接触。之后,我们会对这些软件进行审 核,确保其符合我们的政策。我们会确保这些软件不会知道用户的身份,确保这些软件都提供“选择启用”选项。但他们使用的证书授权方式引发了安全漏洞,这一 点被完全忽视了。

问:这一体验中完全没有“选择启用”选项。

答:当你购买联想设备并启动它时,这是众多呈现在你面前的程序之一。在那时,你可以点击一个按钮,告诉我们你不想使用这个软件。

问:我还得追问一句,这个“选择启用”模式究竟是什么样子?没有人记得见过这样的选项。

答:我手头也没有,但我可以把它发给你。我们希望今后能采取恰当的方式。这也是我们解决这类问题的方法之一,希望今后能够确保正确的发展方向。为了实现这个目标,我们会努力让用户了解这些程序会干些什么。

问:你们怎么会没发现Superfish劫持了证书呢?

答:我们并没有采取足够的措施来了解Superfish是如何寻找和提供信息的。这的确是我们的错。

问:单纯切断Superfish的服务器并没有解决这个问题。

答:确实如此。今年1月,我们因为兼容性问题而关闭了服务器。但不幸的是,这并没有解决安全问题,仍然有人可以劫持证书。我们周四和周五采取的措施是删除证书,并删除该应用的所有痕迹,通过这种做法来解决安全问题。

问:你们是否知道Superfish使用Komodia来提供证书?

答:Superfish说他们使用Komodia,但我们从没有进行过调查。去年12月,我们没有理由怀疑,因为Superfish的名声很好,但我们的确应该多进行一些调查。在这个问题上,我不会辩解。

问:Superfish这样的可视化搜索公司究竟会干什么事情?从逻辑上讲,要进行“可视化搜索”,他们会记录我看到的一切才能知道我可能在搜索什么信息。

答:我难以用更好的词语来描述,但他们会获得一个你所查看信息的签名。所以如果你的鼠标悬停在一张图片上,他们就会将这个签名发回服务器,随后借此匹配与你正在查看的信息最为接近的内容,然后将其发回到网页上。这就是他们软件的原理。

问:这么说我理解的没错,Superfish会从我在网上看到的所有信息中提取元数据,然后劫持我所在网站的证书,从而插入我可能想要点击或购买的东西的图片。

答:我是这么理解的。也就是说,如果我在寻找什么东西,Superfish可以为我提供一个备选方案。“我寻找花瓶,他们就给我展示一个类似的花瓶,或者展示来自不同商家的同一个花瓶。”至少大致理念如此。

问:技术人员对这种做法都深感愤怒。当你们发现Superfish让你们的用户很容易遭到黑客攻击时,你们的团队有什么反应?

答:我们感到无比失望。这可能是一种比较礼貌的说法。

问:你们此后与Superfish沟通过吗?

答:此事曝光后,我们曾经向他们确认过此事。我本人并没有与他们沟通过。但我不能透露我们的团队跟他们的沟通内容。

问:当人们知道这个程序在你们的操作系统内隐藏得如此之深,而且没人记得你们提供过“选择启用”选项时,人们今后应该如何继续信任联想的产品?

答:我们只能说,我们的确犯了错误,应当为此道歉。这还远远不够。所以我们在本周启动了一项计划,重塑外界对我们的信任。

我们会尽力采取合适的措施。在这一过程中,我们将变得更加强大。但要找到合适的方式却需要经过很长时间。

我们不会假装Superfish提供了他们想要提供的服务,不会假装他们采取了正确的做法,也不会假装什么事情都没有发生。我们在这些问题上都犯了错误。

问:是否有证据显示黑客能够劫持这些证书来攻击你们的用户?

答:我们没有发现这个漏洞被恶意利用。

问:你们能保证类似的情况不再发生吗?

答:我们正在调查,本周末将会发表一份声明。我想要给予1000%的保证。我们的首要措施是删除这个软件,把它连根拔掉。我们本周启动了一项计划来确保这种事情不再发生,本周末将披露这项计划。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:联想 CTO:我们为什么要预装 Superfish
加载中

最新评论(38

curomic
curomic
联想,呵呵
读一不二
你们不觉得 本文配图的 联想集团CTO彼得·霍腾休斯(Peter Hortensius),的笑容极其的Goin Down 吗? ;---)
Liberxue
Liberxue
我给你家卧室安装一个远程微型摄像头是为了保护用户安全和财产 谢谢 真滑稽
eechen
eechen
http://www.leiphone.com/news/201502/8XAnfST1bzwPEUUE.html

联想的这个举动和现在小米的MIUI很类似,硬件附带软件服务,获得收益。这个不是个例,三星前一段甚至在智能电视上都安装了广告插件。

联想无非是要做一个软硬件服务的结合。你买了联想的硬件,联想只能赚一次钱。而联想与“Superfish”合作,除了所谓的用户体验提升以外,还有广告分成的好处,后续收入源源不断。

这个和买了小米手机,你还会买小米的主题,买了OPPO手机,就玩OPPO手机里面的游戏是一个道理。通过软件和服务,硬件厂商可以持续赚钱。

硬件是一个入口,联想以前没有把这个入口利用好赚钱,现在开始利用了。只是联想现在先从广告开始,选了一个不太靠谱的Superfish,造成了今天的麻烦。

Superfish依赖于搜索引擎,而谷歌去年默认开启了SSL连接协议,Superfish无法继续在谷歌搜索结果中显示自己的广告内容。于是它开始耍流氓,以中间人的方式劫持SSL链接。

联想在与Superfish合作前,没把对方的底摸清,没把对方的技术彻底弄明白,把风险评估清楚,就贸然预装,挨了板子也就不冤枉了。本来联想、华为这些中国企业在海外就被歧视,这次事件只会让联想更困难,真是因小失大。芝麻没捡到,西瓜却反而丢了。
_BBQ_
_BBQ_

引用来自“eechen”的评论

联想 CTO:我们为什么要预装 Superfish 因为我们也想像广告公司Google那样赚钱。
广告公司Google要比传统软件公司微软的市值还高,是联想的37倍。
Google放广告就是不作恶,Lenovo放广告就是无耻,国人也喜欢双重标准呢。
用户给谷歌付费了吗?
欣儿
欣儿
有个问题,怎么证明是彻底的删除?
USIDCBBS
USIDCBBS
联想一开始是和SUPERFISH合作,通过用户点击他的购物网站推广链接来获得佣金,然后再与SUPERFISH分成,现在被踢暴了又开始装清白。

老老实实地卖硬件不好,非要搞歪门邪道
democracy
democracy

引用来自“TavenLi”的评论

愚蠢的联想,没有底线的公司,是做不出有良心的产品的。

引用来自“码农不会耕田”的评论

不知道你为什么如此诋毁联想....
我有2台thinkpad t系列,我以前不黑联想,但是看了thinkpad在美国和中国的零售价之后开始黑了...
caltrop
caltrop
节操碎了
返回顶部
顶部