2024年11月06日 星期三

科技 > IT業界 > 正文

字號:  

聯想CTO:我們為什麼要預裝Superfish廣告軟體

  • 發佈時間:2015-02-26 07:20:30  來源:環球網  作者:佚名  責任編輯:王磊

  聯想集團CTO彼得·霍騰休斯(Peter Hortensius)近日就預裝Superfish一事接受了《紐約時報》專訪,就此事發生的原因做出了解釋,並公開道歉,還透露了該公司的一些解決方案。在用戶發現這家全球最大PC製造商預裝了Superfish廣告軟體,並將其隱藏在用戶和殺毒軟體難以發現的地方後,輿論譁然。但更加糟糕的是,這款廣告軟體雖然只是為了給用戶發送精準廣告,但達成這一目的的方法卻是劫持網站用來與瀏覽器建立安全連接的授信證書。Superfish的這種做法可能導致用戶的電腦被駭客攻擊。

  聯想集團CTO彼得·霍騰休斯(Peter Hortensius)

  Superfish並沒有作出回應,但聯想上周發佈了自動刪除工具,幫助用戶從聯想産品中徹底刪除Superfish,但用戶和安全研究人員表示,這似乎仍然不足以挽回局勢,人們今後難以繼續信任聯想。

  以下為採訪概要:

  問:Superfish是怎麼安裝到聯想電腦中的?

  答:最初的動機是産品團隊想要改善用戶體驗。有人希望通過一種新穎方式提升用戶的購物體驗,例如,當用戶尋找一款桌子時,我們能否為他們推薦另外一款類似的桌子?我們其實是為了改善用戶體驗。但事後看來,如果我們當初知道具體的部署方式,肯定不會預裝Superfish。

  問:最初就此事向我發出警告的彼得·霍恩(Peter Horne)表示,他曾經在1月中旬通過你們的客服渠道將這個安全問題通知給聯想,但至今沒有任何反饋。你們最早是什麼時候知道用戶不接受這種行為的?什麼時候出採取了行動?

  答:我們最早去年12月接到了投訴,但主要是關於網路相容性的。客戶當時説:“我做了這個,但卻得到了那個,出了什麼情況?”今年1月,我們認為Superfish無法提供我們最初預想的體驗。那時,我們關閉了Superfish,還關閉了他們的伺服器。

  不幸的是,安全問題的根源不在這裡,而在於這款軟體創建的證書。我們直到上週四才知道此事。

  問:可是霍恩在1月中旬就將此事告知聯想,那是6個星期前的事情了。

  答:我們那時是從網路相容性的角度來回應這一問題的,而不是安全形度。你可以對這種做法的對錯加以評判,但事實的確如此。我們當時以為關閉伺服器就能解決問題,所以採取了那種措施。我們那時認為,Superfish用處不大,所以才開始將它從預裝軟體中剔除。

  問:品質保證流程為什麼沒有發現這個問題?什麼樣的品質保證流程會允許在聯想設備中安裝這種廣告軟體?

  答:按照高標準來講,負責審核預裝軟體的人員會與市場部的人碰面,告訴他們:“我們想做這些事情。”然後,他們會與工程團隊接觸。之後,我們會對這些軟體進行審核,確保其符合我們的政策。我們會確保這些軟體不會知道用戶的身份,確保這些軟體都提供“選擇啟用”選項。但他們使用的證書授權方式引發了安全漏洞,這一點被完全忽視了。

  問:這一體驗中完全沒有“選擇啟用”選項。

  答:當你購買聯想設備並啟動它時,這是眾多呈現在你面前的程式之一。在那時,你可以點擊一個按鈕,告訴我們你不想使用這個軟體。

  問:我還得追問一句,這個“選擇啟用”模式究竟是什麼樣子?沒有人記得見過這樣的選項。

  答:我手頭也沒有,但我可以把它發給你。我們希望今後能採取恰當的方式。這也是我們解決這類問題的方法之一,希望今後能夠確保正確的發展方向。為了實現這個目標,我們會努力讓用戶了解這些程式會幹些什麼。

  問:你們怎麼會沒發現Superfish劫持了證書呢?

  答:我們並沒有採取足夠的措施來了解Superfish是如何尋找和提供資訊的。這的確是我們的錯。

  問:單純切斷Superfish的伺服器並沒有解決這個問題。

  答:確實如此。今年1月,我們因為相容性問題而關閉了伺服器。但不幸的是,這並沒有解決安全問題,仍然有人可以劫持證書。我們週四和週五採取的措施是刪除證書,並刪除該應用的所有痕跡,通過這種做法來解決安全問題。

  問:你們是否知道Superfish使用Komodia來提供證書?

  答:Superfish説他們使用Komodia,但我們從沒有進行過調查。去年12月,我們沒有理由懷疑,因為Superfish的名聲很好,但我們的確應該多進行一些調查。在這個問題上,我不會辯解。

  問:Superfish這樣的可視化搜索公司究竟會幹什麼事情?從邏輯上講,要進行“可視化搜索”,他們會記錄我看到的一切才能知道我可能在搜索什麼資訊。

  答:我難以用更好的詞語來描述,但他們會獲得一個你所查看資訊的簽名。所以如果你的滑鼠懸停在一張圖片上,他們就會將這個簽名發回伺服器,隨後借此匹配與你正在查看的資訊最為接近的內容,然後將其發回到網頁上。這就是他們軟體的原理。

  問:這麼説我理解的沒錯,Superfish會從我在網上看到的所有資訊中提取元數據,然後劫持我所在網站的證書,從而插入我可能想要點擊或購買的東西的圖片。

  答:我是這麼理解的。也就是説,如果我在尋找什麼東西,Superfish可以為我提供一個備選方案。“我尋找花瓶,他們就給我展示一個類似的花瓶,或者展示來自不同商家的同一個花瓶。”至少大致理念如此。

  問:技術人員對這種做法都深感憤怒。當你們發現Superfish讓你們的用戶很容易遭到駭客攻擊時,你們的團隊有什麼反應?

  答:我們感到無比失望。這可能是一種比較禮貌的説法。

  問:你們此後與Superfish溝通過嗎?

  答:此事曝光後,我們曾經向他們確認過此事。我本人並沒有與他們溝通過。但我不能透露我們的團隊跟他們的溝通內容。

  問:當人們知道這個程式在你們的作業系統內隱藏得如此之深,而且沒人記得你們提供過“選擇啟用”選項時,人們今後應該如何繼續信任聯想的産品?

  答:我們只能説,我們的確犯了錯誤,應當為此道歉。這還遠遠不夠。所以我們在本週啟動了一項計劃,重塑外界對我們的信任。

  我們會盡力採取合適的措施。在這一過程中,我們將變得更加強大。但要找到合適的方式卻需要經過很長時間。

  我們不會假裝Superfish提供了他們想要提供的服務,不會假裝他們採取了正確的做法,也不會假裝什麼事情都沒有發生。我們在這些問題上都犯了錯誤。

  問:是否有證據顯示駭客能夠劫持這些證書來攻擊你們的用戶?

  答:我們沒有發現這個漏洞被惡意利用。

  問:你們能保證類似的情況不再發生嗎?

  答:我們正在調查,本週末將會發表一份聲明。我想要給予1000%的保證。我們的首要措施是刪除這個軟體,把它連根拔掉。我們本週啟動了一項計劃來確保這種事情不再發生,本週末將披露這項計劃。

  • 股票名稱 最新價 漲跌幅