联想 CTO:我们为什么要预装 Superfish-阿里云开发者社区

开发者社区> 知与谁同> 正文

联想 CTO:我们为什么要预装 Superfish

简介:
+关注继续查看

联想集团CTO彼得·霍腾休斯(Peter Hortensius)近日就预装Superfish一事接受了《纽约时报》专访,就此事发生的原因做出了解释,并公开道歉,还透露了该公司的一些解决方案。在 用户发现这家全球最大PC制造商预装了Superfish广告软件,并将其隐藏在用户和杀毒软件难以发现的地方后,舆论哗然。但更加糟糕的是,这款广告软 件虽然只是为了给用户发送精准广告,但达成这一目的的方法却是劫持网站用来与浏览器建立安全连接的授信证书。Superfish的这种做法可能导致用户的 电脑被黑客攻击。

Superfish并没有作出回应,但联想上周发布了自动删除工具,帮助用户从联想产品中彻底删除Superfish,但用户和安全研究人员表示,这似乎仍然不足以挽回局势,人们今后难以继续信任联想。

以下为采访概要:

问:Superfish是怎么安装到联想电脑中的?

答:最初的动机是产品团队想要改善用户体验。有人希望通过一种新颖方式提升用户的购物体验,例如,当用户寻找一款桌子时,我们能否为他们推荐另外一款类似的桌子?我们其实是为了改善用户体验。但事后看来,如果我们当初知道具体的部署方式,肯定不会预装Superfish。

问:最初就此事向我发出警告的彼得·霍恩(Peter Horne)表示,他曾经在1月中旬通过你们的客服渠道将这个安全问题通知给联想,但至今没有任何反馈。你们最早是什么时候知道用户不接受这种行为的?什么时候出采取了行动?

答:我们最早去年12月接到了投诉,但主要是关于网络兼容性的。客户当时说:“我做了这个,但却得到了那个,出了什么情况?”今年1月,我们认为Superfish无法提供我们最初预想的体验。那时,我们关闭了Superfish,还关闭了他们的服务器。

不幸的是,安全问题的根源不在这里,而在于这款软件创建的证书。我们直到上周四才知道此事。

问:可是霍恩在1月中旬就将此事告知联想,那是6个星期前的事情了。

答:我们那时是从网络兼容性的角度来回应这一问题的,而不是安全角度。你可以对这种做法的对错加以评判,但事实的确如此。我们当时以为关闭服务器就能解决问题,所以采取了那种措施。我们那时认为,Superfish用处不大,所以才开始将它从预装软件中剔除。

问:质量保证流程为什么没有发现这个问题?什么样的质量保证流程会允许在联想设备中安装这种广告软件?

答:按 照高标准来讲,负责审核预装软件的人员会与市场部的人碰面,告诉他们:“我们想做这些事情。”然后,他们会与工程团队接触。之后,我们会对这些软件进行审 核,确保其符合我们的政策。我们会确保这些软件不会知道用户的身份,确保这些软件都提供“选择启用”选项。但他们使用的证书授权方式引发了安全漏洞,这一 点被完全忽视了。

问:这一体验中完全没有“选择启用”选项。

答:当你购买联想设备并启动它时,这是众多呈现在你面前的程序之一。在那时,你可以点击一个按钮,告诉我们你不想使用这个软件。

问:我还得追问一句,这个“选择启用”模式究竟是什么样子?没有人记得见过这样的选项。

答:我手头也没有,但我可以把它发给你。我们希望今后能采取恰当的方式。这也是我们解决这类问题的方法之一,希望今后能够确保正确的发展方向。为了实现这个目标,我们会努力让用户了解这些程序会干些什么。

问:你们怎么会没发现Superfish劫持了证书呢?

答:我们并没有采取足够的措施来了解Superfish是如何寻找和提供信息的。这的确是我们的错。

问:单纯切断Superfish的服务器并没有解决这个问题。

答:确实如此。今年1月,我们因为兼容性问题而关闭了服务器。但不幸的是,这并没有解决安全问题,仍然有人可以劫持证书。我们周四和周五采取的措施是删除证书,并删除该应用的所有痕迹,通过这种做法来解决安全问题。

问:你们是否知道Superfish使用Komodia来提供证书?

答:Superfish说他们使用Komodia,但我们从没有进行过调查。去年12月,我们没有理由怀疑,因为Superfish的名声很好,但我们的确应该多进行一些调查。在这个问题上,我不会辩解。

问:Superfish这样的可视化搜索公司究竟会干什么事情?从逻辑上讲,要进行“可视化搜索”,他们会记录我看到的一切才能知道我可能在搜索什么信息。

答:我难以用更好的词语来描述,但他们会获得一个你所查看信息的签名。所以如果你的鼠标悬停在一张图片上,他们就会将这个签名发回服务器,随后借此匹配与你正在查看的信息最为接近的内容,然后将其发回到网页上。这就是他们软件的原理。

问:这么说我理解的没错,Superfish会从我在网上看到的所有信息中提取元数据,然后劫持我所在网站的证书,从而插入我可能想要点击或购买的东西的图片。

答:我是这么理解的。也就是说,如果我在寻找什么东西,Superfish可以为我提供一个备选方案。“我寻找花瓶,他们就给我展示一个类似的花瓶,或者展示来自不同商家的同一个花瓶。”至少大致理念如此。

问:技术人员对这种做法都深感愤怒。当你们发现Superfish让你们的用户很容易遭到黑客攻击时,你们的团队有什么反应?

答:我们感到无比失望。这可能是一种比较礼貌的说法。

问:你们此后与Superfish沟通过吗?

答:此事曝光后,我们曾经向他们确认过此事。我本人并没有与他们沟通过。但我不能透露我们的团队跟他们的沟通内容。

问:当人们知道这个程序在你们的操作系统内隐藏得如此之深,而且没人记得你们提供过“选择启用”选项时,人们今后应该如何继续信任联想的产品?

答:我们只能说,我们的确犯了错误,应当为此道歉。这还远远不够。所以我们在本周启动了一项计划,重塑外界对我们的信任。

我们会尽力采取合适的措施。在这一过程中,我们将变得更加强大。但要找到合适的方式却需要经过很长时间。

我们不会假装Superfish提供了他们想要提供的服务,不会假装他们采取了正确的做法,也不会假装什么事情都没有发生。我们在这些问题上都犯了错误。

问:是否有证据显示黑客能够劫持这些证书来攻击你们的用户?

答:我们没有发现这个漏洞被恶意利用。

问:你们能保证类似的情况不再发生吗?

答:我们正在调查,本周末将会发表一份声明。我想要给予1000%的保证。我们的首要措施是删除这个软件,把它连根拔掉。我们本周启动了一项计划来确保这种事情不再发生,本周末将披露这项计划。

文章转载自 开源中国社区 [http://www.oschina.net]

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
8633 0
使用NAT网关轻松为单台云服务器设置多个公网IP
在应用中,有时会遇到用户询问如何使单台云服务器具备多个公网IP的问题。 具体如何操作呢,有了NAT网关这个也不是难题。
26535 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
2836 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
10998 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
8802 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
11778 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
4568 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
21723 0
+关注
10077
文章
2994
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载