联想电脑预装“间谍”软件?交友不慎惹的祸
2015年的春节还未结束,不过 联想 恐怕没什么心情再继续过下去。在新旧交接之际,这家PC巨头被发现在自家电脑上预装了一款有木马嫌疑的第三方广告软件“Superfish”,在海外遇到了大麻烦。
联想随后就此事道歉,发布了详细的删除教程,和杀毒软件公司合作能直接移除该软件,联想集团CTO Peter Hortensius也通过媒体采访数度发声,解释了为何会发生这种事情。但以上做法未能平息所有用户的怒火,有用户开始向法院起诉联想,还有律师事务所针对该事件展开集体诉讼调查。而 就在今天 ,联想国际官网“Lenovo.com”也遭到 黑客 攻击被短暂篡改,疑似受Superfish事件影响。
要理解Superfish事件的严重性,得从这款软件的危害性说起。
2月19日, Wired一篇报道 称,如果你在2014年8月后购买了一台联想笔记本,那么它很可能已经安装了一款名为“Superfish”的软件。Superfish没有界面,通过监控用户上网了解用户喜好,并在浏览的网页中向对方插入精准的定向广告。
收集用户偏好并不少见,但Superfish监控用户的技术令人担忧。它使用一种叫“中间人攻击”的手段,在电脑上预置自签名的授信证书,劫持了网站和浏览器之间的加密连接。Superfish的做法让用户电脑更容易遭受黑客攻击——如果制作Superfish的公司被攻破,那么所有预装该软件的电脑都面临信息泄露,特别是用户在进行网上交易时。
图/TNW,Superfish会在
Google
搜索中插入自己的广告
一个被预装、开机自启的后台程序,监控用户上网,向用户浏览的网页插入广告,运用了中间人攻击劫持加密连接,事件的主角还是全球最大的PC制造商,听起来都觉得可怕(当然,在现在看,它并未对用户造成严重的直接损失)。
尽管事后补救尚算合格,但在事件的早期阶段,联想几乎犯了所有该犯的错误。
联想集团CTO Peter Hortensius接受 纽约时报采访 时,公开了预装Superfish软件的来龙去脉。
最初,联想的产品团队希望改善用户体验,譬如用户搜索一款桌子时,能否为其推荐类似的桌子?他们找到了Superfish,并提出合作。
合作进行的很顺利,Superfish预装到了联想电脑。不过显然这其中出了纰漏,Peter Hortensius称,“按联想内部的质量保证流程来说,负责审核预装软件的人员会和市场部、工程团队碰面,然后对软件进行审核,以保证符合联想的政策。我们会确认它们不知道用户的身份信息,以及提供‘是否开启’的选项,但证书授权方式引发的安全漏洞,被忽视掉了。”
预装Superfish的电脑上市后,有用户开始陆续反馈,使用Google搜索时有广告插入,这些用户没有看到“是否开启”的选项。15年1月,发现安全漏洞的人告诉联想社区授信证书的问题,但社区管理员Mark Hopkins并未予以重视,他在2月份还为Superfish辩护称这是一款能为用户提供导购价值的软件。
而在事件另一端,Superfish则显得很吊诡。
TNW 事后询问 Superfish CEO Adi Pinhas,是否了解自己颁发授信证书时,他回避了这个问题,只是说Superfish在安装时会跳出一个选择界面,用户有权决定是否使用。令人震惊的是,Adi Pinhas声称:“我们昨天了解到了授信证书的潜在问题。”很难想象,一家利用自签名根证书劫持加密连接的公司之前会不知道它的危害所在。
Adi Pinhas还称,目前Superfish的装机量已经超过了4000万台,不过他并未解释这个数据是否还有其它厂商合作预装。
而联想集团CTO Peter Hortensius表示,由于兼容性问题,在1月份时官方已经关闭了Superfish服务器。
事件到此,差不多算完结了。联想推出了开放源码的卸载工具,并积极道歉、公开事件细节。对于身在国内的我们来说,这只是又一起供围观的无关事件,Superfish并未预装在国内电脑上。 不过它的影响将会持续下去,如果说正常的产品流程不能保障质量,那需要怎样的流程?大家该如何继续信赖这家公司呢?联想需要回答这些问题。
ps:如有手上用的是海淘联想电脑的童鞋,可点击 https://filippo.io/Badfish/ 检查是否有预装该应用,这是一位开发者推出了检测页面。需要卸载,可参照联想官方教程 http://support.lenovo.com/us/en/product_security/superfish_uninstall 。