联想CTO解释为何预装Superfish:只是为了发点小广告 没想到会存在安全问题
虽然联想采取了一系列措施,但Superfish事件依然在继续发酵,有传闻称在联想因Superfish遭到多起诉讼。
联想集团CTO Peter Hortensius 近日就预装Superfish一事接受了《纽约时报》专访称现在联想已经停止预装Superfish以及关闭Superfish的服务器。
另外,Peter Hortensius也解释了为何联想会预装Superfish,以下节选自新浪科技:
问:Superfish是怎么安装到联想电脑中的?
答:最初的动机是产品团队想要改善用户体验。
有人希望通过一种新颖方式提升用户的购物体验,例如,当用户寻找一款桌子时,我们能否为他们推荐另外一款类似的桌子?
我们其实是为了改善用户体验。但事后看来,如果我们当初知道具体的部署方式,肯定不会预装Superfish。
联想本来是想没事发点小广告,通过Superfish向谷歌搜索结果中插入广告,很明显,这是一种赚钱的好方法。
这些看起来都没有太大问题,但Superfish有可能会干扰用户的流量,被用于另一些不可告人的目的。
对于未加密流量,即通过Http而不是Https协议传输的流量,Superfish可以向网页中注入JavaScript脚本。
此外用户还担心,Superfish会干扰用户的加密流量,从而在用户计算机上展示广告。
在信息安全领域,这被称作“中间人”攻击。
如果联想这样做,那么将对外界所知的“证书链”造成破坏。
许多网站会向来访的用户提供证书,以证明这些是合法网站,不存在恶意内容。
对于Superfish,有报道称,联想使用了自签名证书,使其看起来是可信的。
从理论上来说,Superfish将可以查看用户流量,并以自己期望的方式对其进行修改。
根据Errata Security的罗伯特·格雷厄姆(Robert Graham)的说法,这种方式使得Superfish获得了根认证授权(root CA)。
信息安全分析师安德里斯·林德(Andreas Lindh)表示:“这意味着,Superfish能从浏览器的角度为Facebook或谷歌,以及任何其他使用Https协议的网站生成合法的加密证书。”
Peter Hortensius称他上周四才知道问题的根源不是发点小广告,而是Superfish背后暗藏的巨大问题。
目前联想采取的措施有停止预装Superfish、关闭Superfish服务器、向用户提供卸载工具以及联合微软、McAfee进行查杀等。
后续情况如何,我们将继续关注(据说国内没预装这货、不知道是不是装了其他啥高级货。)