聯(lián)想電腦預(yù)裝“間諜”軟件？交友不慎惹的禍

2015年的春節(jié)還未結(jié)束，不過(guò)聯(lián)想恐怕沒(méi)什么心情再繼續(xù)過(guò)下去。在新舊交接之際，這家PC巨頭被發(fā)現(xiàn)在自家電腦上預(yù)裝了一款有木馬嫌疑的第三方廣告軟件“Superfish”，在海外遇到了大麻煩。

聯(lián)想隨后就此事道歉，發(fā)布了詳細(xì)的刪除教程，和殺毒軟件公司合作能直接移除該軟件，聯(lián)想集團(tuán)CTO Peter Hortensius也通過(guò)媒體采訪數(shù)度發(fā)聲，解釋了為何會(huì)發(fā)生這種事情。但以上做法未能平息所有用戶的怒火，有用戶開(kāi)始向法院起訴聯(lián)想，還有律師事務(wù)所針對(duì)該事件展開(kāi)集體訴訟調(diào)查。而就在今天，聯(lián)想國(guó)際官網(wǎng)“Lenovo.com”也遭到黑客攻擊被短暫篡改，疑似受Superfish事件影響。

要理解Superfish事件的嚴(yán)重性，得從這款軟件的危害性說(shuō)起。

2月19日，Wired一篇報(bào)道稱，如果你在2014年8月后購(gòu)買了一臺(tái)聯(lián)想筆記本，那么它很可能已經(jīng)安裝了一款名為“Superfish”的軟件。Superfish沒(méi)有界面，通過(guò)監(jiān)控用戶上網(wǎng)了解用戶喜好，并在瀏覽的網(wǎng)頁(yè)中向?qū)Ψ讲迦刖珳?zhǔn)的定向廣告。

收集用戶偏好并不少見(jiàn)，但Superfish監(jiān)控用戶的技術(shù)令人擔(dān)憂。它使用一種叫“中間人攻擊”的手段，在電腦上預(yù)置自簽名的授信證書(shū)，劫持了網(wǎng)站和瀏覽器之間的加密連接。Superfish的做法讓用戶電腦更容易遭受黑客攻擊——如果制作Superfish的公司被攻破，那么所有預(yù)裝該軟件的電腦都面臨信息泄露，特別是用戶在進(jìn)行網(wǎng)上交易時(shí)。

圖/TNW，Superfish會(huì)在Google搜索中插入自己的廣告

一個(gè)被預(yù)裝、開(kāi)機(jī)自啟的后臺(tái)程序，監(jiān)控用戶上網(wǎng)，向用戶瀏覽的網(wǎng)頁(yè)插入廣告，運(yùn)用了中間人攻擊劫持加密連接，事件的主角還是全球最大的PC制造商，聽(tīng)起來(lái)都覺(jué)得可怕（當(dāng)然，在現(xiàn)在看，它并未對(duì)用戶造成嚴(yán)重的直接損失）。

盡管事后補(bǔ)救尚算合格，但在事件的早期階段，聯(lián)想幾乎犯了所有該犯的錯(cuò)誤。

聯(lián)想集團(tuán)CTO Peter Hortensius接受紐約時(shí)報(bào)采訪時(shí)，公開(kāi)了預(yù)裝Superfish軟件的來(lái)龍去脈。

最初，聯(lián)想的產(chǎn)品團(tuán)隊(duì)希望改善用戶體驗(yàn)，譬如用戶搜索一款桌子時(shí)，能否為其推薦類似的桌子？他們找到了Superfish，并提出合作。

合作進(jìn)行的很順利，Superfish預(yù)裝到了聯(lián)想電腦。不過(guò)顯然這其中出了紕漏，Peter Hortensius稱，“按聯(lián)想內(nèi)部的質(zhì)量保證流程來(lái)說(shuō)，負(fù)責(zé)審核預(yù)裝軟件的人員會(huì)和市場(chǎng)部、工程團(tuán)隊(duì)碰面，然后對(duì)軟件進(jìn)行審核，以保證符合聯(lián)想的政策。我們會(huì)確認(rèn)它們不知道用戶的身份信息，以及提供‘是否開(kāi)啟’的選項(xiàng)，但證書(shū)授權(quán)方式引發(fā)的安全漏洞，被忽視掉了?！?/p>

預(yù)裝Superfish的電腦上市后，有用戶開(kāi)始陸續(xù)反饋，使用Google搜索時(shí)有廣告插入，這些用戶沒(méi)有看到“是否開(kāi)啟”的選項(xiàng)。15年1月，發(fā)現(xiàn)安全漏洞的人告訴聯(lián)想社區(qū)授信證書(shū)的問(wèn)題，但社區(qū)管理員Mark Hopkins并未予以重視，他在2月份還為Superfish辯護(hù)稱這是一款能為用戶提供導(dǎo)購(gòu)價(jià)值的軟件。

而在事件另一端，Superfish則顯得很吊詭。

TNW事后詢問(wèn)Superfish CEO Adi Pinhas，是否了解自己頒發(fā)授信證書(shū)時(shí)，他回避了這個(gè)問(wèn)題，只是說(shuō)Superfish在安裝時(shí)會(huì)跳出一個(gè)選擇界面，用戶有權(quán)決定是否使用。令人震驚的是，Adi Pinhas聲稱：“我們昨天了解到了授信證書(shū)的潛在問(wèn)題。”很難想象，一家利用自簽名根證書(shū)劫持加密連接的公司之前會(huì)不知道它的危害所在。

Adi Pinhas還稱，目前Superfish的裝機(jī)量已經(jīng)超過(guò)了4000萬(wàn)臺(tái)，不過(guò)他并未解釋這個(gè)數(shù)據(jù)是否還有其它廠商合作預(yù)裝。

而聯(lián)想集團(tuán)CTO Peter Hortensius表示，由于兼容性問(wèn)題，在1月份時(shí)官方已經(jīng)關(guān)閉了Superfish服務(wù)器。

事件到此，差不多算完結(jié)了。聯(lián)想推出了開(kāi)放源碼的卸載工具，并積極道歉、公開(kāi)事件細(xì)節(jié)。對(duì)于身在國(guó)內(nèi)的我們來(lái)說(shuō)，這只是又一起供圍觀的無(wú)關(guān)事件，Superfish并未預(yù)裝在國(guó)內(nèi)電腦上。不過(guò)它的影響將會(huì)持續(xù)下去，如果說(shuō)正常的產(chǎn)品流程不能保障質(zhì)量，那需要怎樣的流程？大家該如何繼續(xù)信賴這家公司呢？聯(lián)想需要回答這些問(wèn)題。

ps：如有手上用的是海淘聯(lián)想電腦的童鞋，可點(diǎn)擊 https://filippo.io/Badfish/ 檢查是否有預(yù)裝該應(yīng)用，這是一位開(kāi)發(fā)者推出了檢測(cè)頁(yè)面。需要卸載，可參照聯(lián)想官方教程 http://support.lenovo.com/us/en/product_security/superfish_uninstall 。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。