联想CTO:我们为什么要预装Superfish

标签: 联想 cto superfish | 发表时间:2015-02-25 15:58 | 作者:
出处:http://www.cnbeta.com/

联想集团CTO彼得·霍腾休斯(Peter Hortensius)近日就预装Superfish一事接受了《纽约时报》专访,就此事发生的原因做出了解释,并公开道歉,还透露了该公司的一些解决方案。在用户发现这家全球最大PC制造商预装了Superfish广告软件,并将其隐藏在用户和杀毒软件难以发现的地方后,舆论哗然。但更加糟糕的是,这款广告软件虽然只是为了给用户发送精准广告,但达成这一目的的方法却是劫持网站用来与浏览器建立安全连接的授信证书。Superfish的这种做法可能导致用户的电脑被黑客攻击。

联想集团CTO彼得·霍腾休斯(Peter Hortensius)

Superfish并没有作出回应,但联想上周发布了自动删除工具,帮助用户从联想产品中彻底删除Superfish,但用户和安全研究人员表示,这似乎仍然不足以挽回局势,人们今后难以继续信任联想。

以下为采访概要:

问:Superfish是怎么安装到联想电脑中的?

答:最初的动机是产品团队想要改善用户体验。有人希望通过一种新颖方式提升用户的购物体验,例如,当用户寻找一款桌子时,我们能否为他们推荐另外一款类似的桌子?我们其实是为了改善用户体验。但事后看来,如果我们当初知道具体的部署方式,肯定不会预装Superfish。

问:最初就此事向我发出警告的彼得·霍恩(Peter Horne)表示,他曾经在1月中旬通过你们的客服渠道将这个安全问题通知给联想,但至今没有任何反馈。你们最早是什么时候知道用户不接受这种行为的?什么时候出采取了行动?

答:我们最早去年12月接到了投诉,但主要是关于网络兼容性的。客户当时说:“我做了这个,但却得到了那个,出了什么情况?”今年1月,我们认为Superfish无法提供我们最初预想的体验。那时,我们关闭了Superfish,还关闭了他们的服务器。

不幸的是,安全问题的根源不在这里,而在于这款软件创建的证书。我们直到上周四才知道此事。

问:可是霍恩在1月中旬就将此事告知联想,那是6个星期前的事情了。

答:我们那时是从网络兼容性的角度来回应这一问题的,而不是安全角度。你可以对这种做法的对错加以评判,但事实的确如此。我们当时以为关闭服务器就能解决问题,所以采取了那种措施。我们那时认为,Superfish用处不大,所以才开始将它从预装软件中剔除。

问:质量保证流程为什么没有发现这个问题?什么样的质量保证流程会允许在联想设备中安装这种广告软件?

答:按照高标准来讲,负责审核预装软件的人员会与市场部的人碰面,告诉他们:“我们想做这些事情。”然后,他们会与工程团队接触。之后,我们会对这些软件进行审核,确保其符合我们的政策。我们会确保这些软件不会知道用户的身份,确保这些软件都提供“选择启用”选项。但他们使用的证书授权方式引发了安全漏洞,这一点被完全忽视了。

问:这一体验中完全没有“选择启用”选项。

答:当你购买联想设备并启动它时,这是众多呈现在你面前的程序之一。在那时,你可以点击一个按钮,告诉我们你不想使用这个软件。

问:我还得追问一句,这个“选择启用”模式究竟是什么样子?没有人记得见过这样的选项。

答:我手头也没有,但我可以把它发给你。我们希望今后能采取恰当的方式。这也是我们解决这类问题的方法之一,希望今后能够确保正确的发展方向。为了实现这个目标,我们会努力让用户了解这些程序会干些什么。

问:你们怎么会没发现Superfish劫持了证书呢?

答:我们并没有采取足够的措施来了解Superfish是如何寻找和提供信息的。这的确是我们的错。

问:单纯切断Superfish的服务器并没有解决这个问题。

答:确实如此。今年1月,我们因为兼容性问题而关闭了服务器。但不幸的是,这并没有解决安全问题,仍然有人可以劫持证书。我们周四和周五采取的措施是删除证书,并删除该应用的所有痕迹,通过这种做法来解决安全问题。

问:你们是否知道Superfish使用Komodia来提供证书?

答:Superfish说他们使用Komodia,但我们从没有进行过调查。去年12月,我们没有理由怀疑,因为Superfish的名声很好,但我们的确应该多进行一些调查。在这个问题上,我不会辩解。

问:Superfish这样的可视化搜索公司究竟会干什么事情?从逻辑上讲,要进行“可视化搜索”,他们会记录我看到的一切才能知道我可能在搜索什么信息。

答:我难以用更好的词语来描述,但他们会获得一个你所查看信息的签名。所以如果你的鼠标悬停在一张图片上,他们就会将这个签名发回服务器,随后借此匹配与你正在查看的信息最为接近的内容,然后将其发回到网页上。这就是他们软件的原理。

问:这么说我理解的没错,Superfish会从我在网上看到的所有信息中提取元数据,然后劫持我所在网站的证书,从而插入我可能想要点击或购买的东西的图片。

答:我是这么理解的。也就是说,如果我在寻找什么东西,Superfish可以为我提供一个备选方案。“我寻找花瓶,他们就给我展示一个类似的花瓶,或者展示来自不同商家的同一个花瓶。”至少大致理念如此。

问:技术人员对这种做法都深感愤怒。当你们发现Superfish让你们的用户很容易遭到黑客攻击时,你们的团队有什么反应?

答:我们感到无比失望。这可能是一种比较礼貌的说法。

问:你们此后与Superfish沟通过吗?

答:此事曝光后,我们曾经向他们确认过此事。我本人并没有与他们沟通过。但我不能透露我们的团队跟他们的沟通内容。

问:当人们知道这个程序在你们的操作系统内隐藏得如此之深,而且没人记得你们提供过“选择启用”选项时,人们今后应该如何继续信任联想的产品?

答:我们只能说,我们的确犯了错误,应当为此道歉。这还远远不够。所以我们在本周启动了一项计划,重塑外界对我们的信任。

我们会尽力采取合适的措施。在这一过程中,我们将变得更加强大。但要找到合适的方式却需要经过很长时间。

我们不会假装Superfish提供了他们想要提供的服务,不会假装他们采取了正确的做法,也不会假装什么事情都没有发生。我们在这些问题上都犯了错误。

问:是否有证据显示黑客能够劫持这些证书来攻击你们的用户?

答:我们没有发现这个漏洞被恶意利用。

问:你们能保证类似的情况不再发生吗?

答:我们正在调查,本周末将会发表一份声明。我想要给予1000%的保证。我们的首要措施是删除这个软件,把它连根拔掉。我们本周启动了一项计划来确保这种事情不再发生,本周末将披露这项计划。

相关 [联想 cto superfish] 推荐:

联想CTO:我们为什么要预装Superfish

- - cnBeta.COM
联想集团CTO彼得·霍腾休斯(Peter Hortensius)近日就预装Superfish一事接受了《纽约时报》专访,就此事发生的原因做出了解释,并公开道歉,还透露了该公司的一些解决方案. 在用户发现这家全球最大PC制造商预装了Superfish广告软件,并将其隐藏在用户和杀毒软件难以发现的地方后,舆论哗然.

联想因Superfish广告软件被起诉

- - cnBeta.COM
联想因为在部分笔记本电脑上预装广告软件Superfish而引发了广泛争议,现在它和开发Superfish的公司一起. Superfish会在用户电脑上安装自签名证书,劫持用户浏览的HTTPS/HTTP网页,插入广告. Superfish的自签名证书能被恶意攻击者利用,让电脑存在安全隐患. 联想已经发布了开源的Superfish移除工具.

CTO这点事

- - 博海拾贝
几乎整个互联网行业都缺CTO,特别是一些草根背景的创业者,这个问题更加显著. 从我自己的感受,身边各种朋友委托我找CTO的需求,嗯,算下来超过两位数了,光最近一个月就有3个,而且这三家都是刚拿了A轮的. 其他那些公司CTO大部分空缺了一两年,或者其他高管临时暂代过渡. 实话说,我觉得每个公司都不错的,但通常也只能遗憾的说,真没有能推荐的.

奇才CTO——Nathan Myhrvold

- Kindy - 《程序员》杂志官网
这期我们要介绍的人物,实在是太有趣了. 当时,IBM公司推出了一套名为TopView的多任务环境,并准备把这个环境作为PC的用户界面. 比尔·盖茨自然不肯容忍自己在这方面落后,也想要搞一套类似的多任务环境. 就在这个时候,盖茨听说,在加州奥克兰,有一家Dynamical System Research公司开发了一套效果几乎一模一样的多任务环境,而且消耗的资源更少,运行速度更快.

谈谈CTO的职责

- zhengyun - 互联网旁观者
想想技术人员的职业道路,很多人都希望成为公司的技术领袖,把握公司及其产品技术方向的人. 技术色彩浓厚的创始人/CEO、CTO、总工程师、工程副总裁、技术总监、研究员院长、首席科学家等都可以纳入技术领袖的范畴. 既然梦寐以求的是CTO,但什么是CTO. 雾里看花,还真是说不清道不明呀. 业内公认的最优秀的CTO之一Amazon的Werner Vogels,还专门为CTO的角色定义写过一篇文章.

Twitter CTO 离职了,他是谁?

- yat - 爱范儿 · Beats of Bits
Twitter 是硅谷的创业传奇. 几位创始人的故事之前也有介绍过. 上周末,Twitter CTO Greg Pass 离职. 相信大部分的反应是:Twitter CTO. Greg Pass 相比几位创始人确实不太知名. 从 LinkedIn 的信息来看,他于 1997 年毕业于康奈尔大学,获计算机和认知科学学士学位,创办过 ToFish,后来加入了风险投资和私募股权公司 Walker Ventures.

未来你是CTO还是架构师?

- - SegmentFault 最新的文章
春节就要到了,每到年末就非常适合总结、反思,思考过去一年的成长(就),过去一年的收获,过去一年的改变,所以接下来两三周的时间,我想给大家分享一些技术以外的思考. 这次先跟大家分享关于未来的思考, 职业目标和规划决定了你以后的职业高度、职业角色,你本来想成架构师、技术VP、CTO,结果就是没有了结果.

从程序员到CTO的Java技术路线图

- - ITeye博客
 总感觉需要提升自己,也摸索了一下路子. 但有如此清晰的指示图供参考还是非常不错的,不是需要我们完全掌握,只是扩展思维.               反射、泛型、注释符、自动装箱和拆箱、枚举类、可变.               参数、可变返回类型、增强循环、静态导入.         核心编程.              IO、多线程、实体类、.

腾讯CTO张志东(Tony)培训笔记

- - 标点符
公司请来了Tony给我们培训(感谢公司),以下为Pony培训中涉及到的内容,膜拜前辈真的是非常的兴奋,同时也是学习到了不少知识. 对于这样的前辈,最深的感受就是谦逊与实在. 1、关于网传的QQ架构从建立初期一直沿用到现在的解释. 林军的《沸腾十五年》中关于“腾讯创始人们”的章节中,有一段关于张志东技术能力的描述: QICQ最开始只是一个纯汉化的版本,毕竟是系统集成项目中很小的一部分,但之后要放在网上,因此,张志东带着小光、夜猫又重新写了一遍,从客户端到服务器端,这个架构沿用至今,没有做大的修改,只是不断扩充用户和升级系统,张志东真天才也.

为什么中国IT公司的CTO都不写代码?

- - IT瘾-geek
医疗社区丁香园的CTO冯大辉离职了,炸出了科技行业里的一个大问题:CTO到底应不应该写代码. 具体来说,CTO在公司里是干嘛的. 该不该做代码评审(code review),亲力亲为给程序员做出榜样. 还是把握一下大方向,设计架构,管管程序员,提供一些培训. 抑或应该把首席市场官以及首席吐槽老东家官的岗位一并兼了.