联想CTO：我们为什么要预装Superfish

联想CTO彼得·霍腾休斯(Peter Hortensius)近日就预装Superfish一事接受了《纽约时报》专访，就此事发生的原因做出了解释，并公开道歉，还透露了该公司的一些解决方案。

联想集团CTO彼得·霍腾休斯(Peter Hortensius)

在用户发现这家全球最大PC制造商预装了Superfish广告软件，并将其隐藏在用户和杀毒软件难以发现的地方后，舆论哗然。但更加糟糕的是，这款广告软件虽然只是为了给用户发送精准广告，但达成这一目的的方法却是劫持网站用来与浏览器建立安全连接的授信证书。Superfish的这种做法可能导致用户的电脑被黑客攻击。

Superfish并没有作出回应，但联想上周发布了自动删除工具，帮助用户从联想产品中彻底删除Superfish，但用户和安全研究人员表示，这似乎仍然不足以挽回局势，人们今后难以继续信任联想。

以下为采访概要：

问：Superfish是怎么安装到联想电脑中的？

答：最初的动机是产品团队想要改善用户体验。有人希望通过一种新颖方式提升用户的购物体验，例如，当用户寻找一款桌子时，我们能否为他们推荐另外一款类似的桌子？我们其实是为了改善用户体验。但事后看来，如果我们当初知道具体的部署方式，肯定不会预装Superfish。

问：最初就此事向我发出警告的彼得·霍恩(Peter Horne)表示，他曾经在1月中旬通过你们的客服渠道将这个安全问题通知给联想，但至今没有任何反馈。你们最早是什么时候知道用户不接受这种行为的？什么时候出采取了行动？

答：我们最早去年12月接到了投诉，但主要是关于网络兼容性的。客户当时说：“我做了这个，但却得到了那个，出了什么情况？”今年1月，我们认为Superfish无法提供我们最初预想的体验。那时，我们关闭了Superfish，还关闭了他们的服务器。不幸的是，安全问题的根源不在这里，而在于这款软件创建的证书。我们直到上周四才知道此事。

问：可是霍恩在1月中旬就将此事告知联想，那是6个星期前的事情了。

答：我们那时是从网络兼容性的角度来回应这一问题的，而不是安全角度。你可以对这种做法的对错加以评判，但事实的确如此。我们当时以为关闭服务器就能解决问题，所以采取了那种措施。我们那时认为，Superfish用处不大，所以才开始将它从预装软件中剔除。

问：质量保证流程为什么没有发现这个问题？什么样的质量保证流程会允许在联想设备中安装这种广告软件？

答：按照高标准来讲，负责审核预装软件的人员会与市场部的人碰面，告诉他们：“我们想做这些事情。”然后， 他们会与工程团队接触。之后，我们会对这些软件进行审核，确保其符合我们的政策。我们会确保这些软件不会知道用户的身份，确保这些软件都提供“选择启用” 选项。但他们使用的证书授权方式引发了安全漏洞，这一点被完全忽视了。

问：这一体验中完全没有“选择启用”选项。

答：当你购买联想设备并启动它时，这是众多呈现在你面前的程序之一。在那时，你可以点击一个按钮，告诉我们你不想使用这个软件。

问：我还得追问一句，这个“选择启用”模式究竟是什么样子？没有人记得见过这样的选项。

答：我手头也没有，但我可以把它发给你。我们希望今后能采取恰当的方式。这也是我们解决这类问题的方法之一，希望今后能够确保正确的发展方向。为了实现这个目标，我们会努力让用户了解这些程序会干些什么。

问：你们怎么会没发现Superfish劫持了证书呢？

答：我们并没有采取足够的措施来了解Superfish是如何寻找和提供信息的。这的确是我们的错。

问：单纯切断Superfish的服务器并没有解决这个问题。

答：确实如此。今年1月，我们因为兼容性问题而关闭了服务器。但不幸的是，这并没有解决安全问题，仍然有人可以劫持证书。我们周四和周五采取的措施是删除证书，并删除该应用的所有痕迹，通过这种做法来解决安全问题。

问：你们是否知道Superfish使用Komodia来提供证书？

答：Superfish说他们使用Komodia，但我们从没有进行过调查。去年12月，我们没有理由怀疑，因为Superfish的名声很好，但我们的确应该多进行一些调查。在这个问题上，我不会辩解。

问：Superfish这样的可视化搜索公司究竟会干什么事情？从逻辑上讲，要进行“可视化搜索”，他们会记录我看到的一切才能知道我可能在搜索什么信息。

答：我难以用更好的词语来描述，但他们会获得一个你所查看信息的签名。所以如果你的鼠标悬停在一张图片上，他们就会将这个签名发回服务器，随后借此匹配与你正在查看的信息最为接近的内容，然后将其发回到网页上。这就是他们软件的原理。

问：这么说我理解的没错，Superfish会从我在网上看到的所有信息中提取元数据，然后劫持我所在网站的证书，从而插入我可能想要点击或购买的东西的图片。

答：我是这么理解的。也就是说，如果我在寻找什么东西，Superfish可以为我提供一个备选方案。“我寻找花瓶，他们就给我展示一个类似的花瓶，或者展示来自不同商家的同一个花瓶。”至少大致理念如此。

问：技术人员对这种做法都深感愤怒。当你们发现Superfish让你们的用户很容易遭到黑客攻击时，你们的团队有什么反应？

答：我们感到无比失望。这可能是一种比较礼貌的说法。

问：你们此后与Superfish沟通过吗？

答：此事曝光后，我们曾经向他们确认过此事。我本人并没有与他们沟通过。但我不能透露我们的团队跟他们的沟通内容。

问：当人们知道这个程序在你们的操作系统内隐藏得如此之深，而且没人记得你们提供过“选择启用”选项时，人们今后应该如何继续信任联想的产品？

答：我们只能说，我们的确犯了错误，应当为此道歉。这还远远不够。所以我们在本周启动了一项计划，重塑外界对我们的信任。

我们会尽力采取合适的措施。在这一过程中，我们将变得更加强大。但要找到合适的方式却需要经过很长时间。

我们不会假装Superfish提供了他们想要提供的服务，不会假装他们采取了正确的做法，也不会假装什么事情都没有发生。我们在这些问题上都犯了错误。

问：是否有证据显示黑客能够劫持这些证书来攻击你们的用户？

答：我们没有发现这个漏洞被恶意利用。

问：你们能保证类似的情况不再发生吗？

答：我们正在调查，本周末将会发表一份声明。我想要给予1000%的保证。我们的首要措施是删除这个软件，把它连根拔掉。我们本周启动了一项计划来确保这种事情不再发生，本周末将披露这项计划。

本文与原文有部分改动

参考：

Still smarting from HTTPS-busting Superfish debacle, Lenovo says sorry  http://arstechnica.com/security/2015/02/still-smarting-from-https-busting-superfish-debacle-lenovo-says-sorry/

联想CTO Peter Hortensius周一下午发表的一封公开信 http://news.lenovo.com/article_display.cfm?article_id=1932

联想CTO彼得·霍腾休斯(Peter Hortensius)列举了受影响的客户移除恶意软件Superfish的方法：除了联想创建及发布的自动移除工具之外，微软、迈克菲以及赛门铁克发布的杀毒软件也可以检测出并移除这个软件。Hortensius表明，联想为了解决软件漏洞和安全威胁，计划发布一个更新的系统联想计划推出一个更新的系统解决软件漏洞和安全威胁。

原文链接：http://tech.sina.com.cn/it/2015-02-25/doc-icczmvun6273898.shtml