蓝点网
给你感兴趣的内容!

联想CTO解释为何预装Superfish:只是为了发点小广告 没想到会存在安全问题

虽然联想采取了一系列措施,但Superfish事件依然在继续发酵,有传闻称在联想因Superfish遭到多起诉讼。

联想集团CTO Peter Hortensius 近日就预装Superfish一事接受了《纽约时报》专访称现在联想已经停止预装Superfish以及关闭Superfish的服务器。

另外,Peter Hortensius也解释了为何联想会预装Superfish,以下节选自新浪科技

问:Superfish是怎么安装到联想电脑中的?

答:最初的动机是产品团队想要改善用户体验。

有人希望通过一种新颖方式提升用户的购物体验,例如,当用户寻找一款桌子时,我们能否为他们推荐另外一款类似的桌子?

我们其实是为了改善用户体验。但事后看来,如果我们当初知道具体的部署方式,肯定不会预装Superfish。

更多软件被发现使用了类似Superfish的中间人攻击技术 [来源:蓝点网 地址:http://www.landiannews.com]

联想本来是想没事发点小广告,通过Superfish向谷歌搜索结果中插入广告,很明显,这是一种赚钱的好方法。

这些看起来都没有太大问题,但Superfish有可能会干扰用户的流量,被用于另一些不可告人的目的。

对于未加密流量,即通过Http而不是Https协议传输的流量,Superfish可以向网页中注入JavaScript脚本。

此外用户还担心,Superfish会干扰用户的加密流量,从而在用户计算机上展示广告。

在信息安全领域,这被称作“中间人”攻击。

如果联想这样做,那么将对外界所知的“证书链”造成破坏。

许多网站会向来访的用户提供证书,以证明这些是合法网站,不存在恶意内容。

对于Superfish,有报道称,联想使用了自签名证书,使其看起来是可信的

从理论上来说,Superfish将可以查看用户流量,并以自己期望的方式对其进行修改。

根据Errata Security的罗伯特·格雷厄姆(Robert Graham)的说法,这种方式使得Superfish获得了根认证授权(root CA)。

信息安全分析师安德里斯·林德(Andreas Lindh)表示:“这意味着,Superfish能从浏览器的角度为Facebook或谷歌,以及任何其他使用Https协议的网站生成合法的加密证书。”

Peter Hortensius称他上周四才知道问题的根源不是发点小广告,而是Superfish背后暗藏的巨大问题。

目前联想采取的措施有停止预装Superfish、关闭Superfish服务器、向用户提供卸载工具以及联合微软、McAfee进行查杀等

后续情况如何,我们将继续关注(据说国内没预装这货、不知道是不是装了其他啥高级货。)

转载请注明来源于蓝点网及本文链接:蓝点网 » 联想CTO解释为何预装Superfish:只是为了发点小广告 没想到会存在安全问题
分享到:更多 ()
以下评论内容由网友保留所有权,除非特别注明否则所有评论均不代表本站观点!

评论 5

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #3

    少忽悠用家们

    KC11272年前 (2015-02-26)回复
  2. #2

    木头科学二百五2年前 (2015-02-25)回复
  3. #1

    美帝良心企业

    三生三世的传说2年前 (2015-02-25)回复