2015年的春節還未結束,不過聯想恐怕沒什麼心情再繼續過下去。在新舊交接之際,這家PC巨頭被發現在自家電腦上預裝了一款有木馬嫌疑的第三方廣告軟件“Superfish”,在海外遇到了大麻煩。
聯想隨後就此事道歉,發佈了詳細的刪除教程,和殺毒軟件公司合作能直接移除該軟件,聯想集團CTO Peter Hortensius也通過媒體採訪數度發聲,解釋了為何會發生這種事情。但以上做法未能平息所有用户的怒火,有用户開始向法院起訴聯想,還有律師事務所針對該事件展開集體訴訟調查。而就在今天,聯想國際官網“Lenovo.com”也遭到黑客攻擊被短暫篡改,疑似受Superfish事件影響。
要理解Superfish事件的嚴重性,得從這款軟件的危害性説起。
2月19日,Wired一篇報道稱,如果你在2014年8月後購買了一台聯想筆記本,那麼它很可能已經安裝了一款名為“Superfish”的軟件。Superfish沒有界面,通過監控用户上網瞭解用户喜好,並在瀏覽的網頁中向對方插入精準的定向廣告。
收集用户偏好並不少見,但Superfish監控用户的技術令人擔憂。它使用一種叫“中間人攻擊”的手段,在電腦上預置自簽名的授信證書,劫持了網站和瀏覽器之間的加密連接。Superfish的做法讓用户電腦更容易遭受黑客攻擊——如果製作Superfish的公司被攻破,那麼所有預裝該軟件的電腦都面臨信息泄露,特別是用户在進行網上交易時。
圖/TNW,Superfish會在Google搜索中插入自己的廣告
一個被預裝、開機自啟的後台程序,監控用户上網,向用户瀏覽的網頁插入廣告,運用了中間人攻擊劫持加密連接,事件的主角還是全球最大的PC製造商,聽起來都覺得可怕(當然,在現在看,它並未對用户造成嚴重的直接損失)。
儘管事後補救尚算合格,但在事件的早期階段,聯想幾乎犯了所有該犯的錯誤。
聯想集團CTO Peter Hortensius接受紐約時報採訪時,公開了預裝Superfish軟件的來龍去脈。
最初,聯想的產品團隊希望改善用户體驗,譬如用户搜索一款桌子時,能否為其推薦類似的桌子?他們找到了Superfish,並提出合作。
合作進行的很順利,Superfish預裝到了聯想電腦。不過顯然這其中出了紕漏,Peter Hortensius稱,“按聯想內部的質量保證流程來説,負責審核預裝軟件的人員會和市場部、工程團隊碰面,然後對軟件進行審核,以保證符合聯想的政策。我們會確認它們不知道用户的身份信息,以及提供‘是否開啟’的選項,但證書授權方式引發的安全漏洞,被忽視掉了。”
預裝Superfish的電腦上市後,有用户開始陸續反饋,使用Google搜索時有廣告插入,這些用户沒有看到“是否開啟”的選項。15年1月,發現安全漏洞的人告訴聯想社區授信證書的問題,但社區管理員Mark Hopkins並未予以重視,他在2月份還為Superfish辯護稱這是一款能為用户提供導購價值的軟件。
而在事件另一端,Superfish則顯得很弔詭。
TNW事後詢問Superfish CEO Adi Pinhas,是否瞭解自己頒發授信證書時,他迴避了這個問題,只是説Superfish在安裝時會跳出一個選擇界面,用户有權決定是否使用。令人震驚的是,Adi Pinhas聲稱:“我們昨天瞭解到了授信證書的潛在問題。”很難想象,一家利用自簽名根證書劫持加密連接的公司之前會不知道它的危害所在。
Adi Pinhas還稱,目前Superfish的裝機量已經超過了4000萬台,不過他並未解釋這個數據是否還有其它廠商合作預裝。
而聯想集團CTO Peter Hortensius表示,由於兼容性問題,在1月份時官方已經關閉了Superfish服務器。
事件到此,差不多算完結了。聯想推出了開放源碼的卸載工具,並積極道歉、公開事件細節。對於身在國內的我們來説,這只是又一起供圍觀的無關事件,Superfish並未預裝在國內電腦上。不過它的影響將會持續下去,如果説正常的產品流程不能保障質量,那需要怎樣的流程?大家該如何繼續信賴這家公司呢?聯想需要回答這些問題。
ps:如有手上用的是海淘聯想電腦的童鞋,可點擊 https://filippo.io/Badfish/ 檢查是否有預裝該應用,這是一位開發者推出了檢測頁面。需要卸載,可參照聯想官方教程 http://support.lenovo.com/us/en/product_security/superfish_uninstall 。
資料來源:雷鋒網
作者/編輯:王彪
請按此登錄後留言。未成為會員? 立即註冊