蓝点网
给你感兴趣的内容!

联想 CTO 解释为何预装 Superfish:只是为了发点小广告 没想到会存在安全问题

虽然联想采取了一系列措施,但 Superfish 事件依然在继续发酵,有传闻称在联想因 Superfish 遭到多起诉讼。

联想集团 CTO Peter Hortensius 近日就预装 Superfish 一事接受了《纽约时报》专访称现在联想已经停止预装 Superfish 以及关闭 Superfish 的服务器。

另外,Peter Hortensius 也解释了为何联想会预装 Superfish, 以下节选自新浪科技

问:Superfish 是怎么安装到联想电脑中的?

答: 最初的动机是产品团队想要改善用户体验。

有人希望通过一种新颖方式提升用户的购物体验, 例如,当用户寻找一款桌子时,我们能否为他们推荐另外一款类似的桌子?

我们 其实是为了改善 用户体验。但事后看来,如果我们当初知道具体的部署方式,肯定不会预装 Superfish。

更多软件被发现使用了类似Superfish的中间人攻击技术 [来源:蓝点网 地址:http://www.landiannews.com]

联想本来是想没事发点小广告,通过 Superfish 向谷歌搜索结果中插入广告,很明显,这是一种赚钱的好方法。

这些看起来都没有太大问题,但 Superfish 有可能会干扰用户的流量,被用于另一些不可告人的目的。

对于未加密流量,即通过 Http 而不是 Https 协议传输的流量,Superfish 可以向网页中注入 JavaScript 脚本。

此外用户还担心,Superfish 会干扰用户的加密流量,从而在用户计算机上展示广告。

在信息安全领域,这被称作“中间人”攻击。

如果联想这样做,那么将对外界所知的“证书链”造成破坏。

许多网站会向来访的用户提供证书,以证明这些是合法网站,不存在恶意内容。

对于 Superfish,有报道称,联想使用了自签名证书, 使其看起来是可信的

从理论上来说,Superfish 将可以查看用户流量,并以自己期望的方式对其进行修改。

根据 Errata Security 的罗伯特·格雷厄姆 (Robert Graham) 的说法,这种方式使得 Superfish 获得了根认证授权 (root CA)。

信息安全分析师安德里斯·林德 (Andreas Lindh) 表示:“这意味着,Superfish 能从浏览器的角度为 Facebook 或谷歌,以及任何其他使用 Https 协议的网站生成合法的加密证书。”

Peter Hortensius 称他上周四才知道问题的根源不是发点小广告,而是 Superfish 背后暗藏的巨大问题。

目前联想采取的措施有停止预装 Superfish、关闭 Superfish 服务器、向用户提供卸载工具以及 联合微软、McAfee 进行查杀等

后续情况如何,我们将继续关注(据说国内没预装这货、不知道是不是装了其他啥高级货。)

转载请注明来源于蓝点网及本文链接:蓝点网 » 联想 CTO 解释为何预装 Superfish:只是为了发点小广告 没想到会存在安全问题
分享到: (0)
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 5

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #3
    Unknown Unknown Unknown Unknown

    少忽悠用家们

    KC11272年前 (2015-02-26)回复
    • Unknown Unknown Unknown Unknown

      用家?香港也用这词儿?这不是台湾的用语么

      山外的鸭子哥2年前 (2015-02-26)回复
  2. #2
    Unknown Unknown Unknown Unknown

    木头科学二百五2年前 (2015-02-25)回复
  3. #1
    Unknown Unknown Unknown Unknown

    美帝良心企业

    三生三世的传说2年前 (2015-02-25)回复