聯(lián)想集團(tuán)CTO彼得·霍騰休斯(Peter Hortensius)近日就預(yù)裝Superfish一事接受了《紐約時(shí)報(bào)》專訪，就此事發(fā)生的原因做出了解釋，并公開道歉，還透露了該公司的一些解決方案。在用戶發(fā)現(xiàn)這家全球最大PC制造商預(yù)裝了Superfish廣告軟件，并將其隱藏在用戶和殺毒軟件難以發(fā)現(xiàn)的地方后，輿論嘩然。但更加糟糕的是，這款廣告軟件雖然只是為了給用戶發(fā)送精準(zhǔn)廣告，但達(dá)成這一目的的方法卻是劫持網(wǎng)站用來與瀏覽器建立安全連接的授信證書。Superfish的這種做法可能導(dǎo)致用戶的電腦被黑客攻擊。

　　聯(lián)想集團(tuán)CTO彼得·霍騰休斯(Peter Hortensius)

　　Superfish并沒有作出回應(yīng)，但聯(lián)想上周發(fā)布了自動(dòng)刪除工具，幫助用戶從聯(lián)想產(chǎn)品中徹底刪除Superfish，但用戶和安全研究人員表示，這似乎仍然不足以挽回局勢(shì)，人們今后難以繼續(xù)信任聯(lián)想。

　　以下為采訪概要：

　　問：Superfish是怎么安裝到聯(lián)想電腦中的？

　　答：最初的動(dòng)機(jī)是產(chǎn)品團(tuán)隊(duì)想要改善用戶體驗(yàn)。有人希望通過一種新穎方式提升用戶的購(gòu)物體驗(yàn)，例如，當(dāng)用戶尋找一款桌子時(shí)，我們能否為他們推薦另外一款類似的桌子？我們其實(shí)是為了改善用戶體驗(yàn)。但事后看來，如果我們當(dāng)初知道具體的部署方式，肯定不會(huì)預(yù)裝Superfish。

　　問：最初就此事向我發(fā)出警告的彼得·霍恩(Peter Horne)表示，他曾經(jīng)在1月中旬通過你們的客服渠道將這個(gè)安全問題通知給聯(lián)想，但至今沒有任何反饋。你們最早是什么時(shí)候知道用戶不接受這種行為的？什么時(shí)候出采取了行動(dòng)？

　　答：我們最早去年12月接到了投訴，但主要是關(guān)于網(wǎng)絡(luò)兼容性的?？蛻舢?dāng)時(shí)說：“我做了這個(gè)，但卻得到了那個(gè)，出了什么情況？”今年1月，我們認(rèn)為Superfish無法提供我們最初預(yù)想的體驗(yàn)。那時(shí)，我們關(guān)閉了Superfish，還關(guān)閉了他們的服務(wù)器。

　　不幸的是，安全問題的根源不在這里，而在于這款軟件創(chuàng)建的證書。我們直到上周四才知道此事。

　　問：可是霍恩在1月中旬就將此事告知聯(lián)想，那是6個(gè)星期前的事情了。

　　答：我們那時(shí)是從網(wǎng)絡(luò)兼容性的角度來回應(yīng)這一問題的，而不是安全角度。你可以對(duì)這種做法的對(duì)錯(cuò)加以評(píng)判，但事實(shí)的確如此。我們當(dāng)時(shí)以為關(guān)閉服務(wù)器就能解決問題，所以采取了那種措施。我們那時(shí)認(rèn)為，Superfish用處不大，所以才開始將它從預(yù)裝軟件中剔除。

　　問：質(zhì)量保證流程為什么沒有發(fā)現(xiàn)這個(gè)問題？什么樣的質(zhì)量保證流程會(huì)允許在聯(lián)想設(shè)備中安裝這種廣告軟件？

　　答：按照高標(biāo)準(zhǔn)來講，負(fù)責(zé)審核預(yù)裝軟件的人員會(huì)與市場(chǎng)部的人碰面，告訴他們：“我們想做這些事情?！比缓?，他們會(huì)與工程團(tuán)隊(duì)接觸。之后，我們會(huì)對(duì)這些軟件進(jìn)行審核，確保其符合我們的政策。我們會(huì)確保這些軟件不會(huì)知道用戶的身份，確保這些軟件都提供“選擇啟用”選項(xiàng)。但他們使用的證書授權(quán)方式引發(fā)了安全漏洞，這一點(diǎn)被完全忽視了。

　　問：這一體驗(yàn)中完全沒有“選擇啟用”選項(xiàng)。

　　答：當(dāng)你購(gòu)買聯(lián)想設(shè)備并啟動(dòng)它時(shí)，這是眾多呈現(xiàn)在你面前的程序之一。在那時(shí)，你可以點(diǎn)擊一個(gè)按鈕，告訴我們你不想使用這個(gè)軟件。

　　問：我還得追問一句，這個(gè)“選擇啟用”模式究竟是什么樣子？沒有人記得見過這樣的選項(xiàng)。

　　答：我手頭也沒有，但我可以把它發(fā)給你。我們希望今后能采取恰當(dāng)?shù)姆绞?。這也是我們解決這類問題的方法之一，希望今后能夠確保正確的發(fā)展方向。為了實(shí)現(xiàn)這個(gè)目標(biāo)，我們會(huì)努力讓用戶了解這些程序會(huì)干些什么。

　　問：你們?cè)趺磿?huì)沒發(fā)現(xiàn)Superfish劫持了證書呢？

　　答：我們并沒有采取足夠的措施來了解Superfish是如何尋找和提供信息的。這的確是我們的錯(cuò)。

　　問：單純切斷Superfish的服務(wù)器并沒有解決這個(gè)問題。

　　答：確實(shí)如此。今年1月，我們因?yàn)榧嫒菪詥栴}而關(guān)閉了服務(wù)器。但不幸的是，這并沒有解決安全問題，仍然有人可以劫持證書。我們周四和周五采取的措施是刪除證書，并刪除該應(yīng)用的所有痕跡，通過這種做法來解決安全問題。

　　問：你們是否知道Superfish使用Komodia來提供證書？

　　答：Superfish說他們使用Komodia，但我們從沒有進(jìn)行過調(diào)查。去年12月，我們沒有理由懷疑，因?yàn)镾uperfish的名聲很好，但我們的確應(yīng)該多進(jìn)行一些調(diào)查。在這個(gè)問題上，我不會(huì)辯解。

　　問：Superfish這樣的可視化搜索公司究竟會(huì)干什么事情？從邏輯上講，要進(jìn)行“可視化搜索”，他們會(huì)記錄我看到的一切才能知道我可能在搜索什么信息。

　　答：我難以用更好的詞語(yǔ)來描述，但他們會(huì)獲得一個(gè)你所查看信息的簽名。所以如果你的鼠標(biāo)懸停在一張圖片上，他們就會(huì)將這個(gè)簽名發(fā)回服務(wù)器，隨后借此匹配與你正在查看的信息最為接近的內(nèi)容，然后將其發(fā)回到網(wǎng)頁(yè)上。這就是他們軟件的原理。

　　問：這么說我理解的沒錯(cuò)，Superfish會(huì)從我在網(wǎng)上看到的所有信息中提取元數(shù)據(jù)，然后劫持我所在網(wǎng)站的證書，從而插入我可能想要點(diǎn)擊或購(gòu)買的東西的圖片。

　　答：我是這么理解的。也就是說，如果我在尋找什么東西，Superfish可以為我提供一個(gè)備選方案?！拔覍ふ一ㄆ?，他們就給我展示一個(gè)類似的花瓶，或者展示來自不同商家的同一個(gè)花瓶?！敝辽俅笾吕砟钊绱?。

　　問：技術(shù)人員對(duì)這種做法都深感憤怒。當(dāng)你們發(fā)現(xiàn)Superfish讓你們的用戶很容易遭到黑客攻擊時(shí)，你們的團(tuán)隊(duì)有什么反應(yīng)？

　　答：我們感到無比失望。這可能是一種比較禮貌的說法。

　　問：你們此后與Superfish溝通過嗎？

　　答：此事曝光后，我們?cè)?jīng)向他們確認(rèn)過此事。我本人并沒有與他們溝通過。但我不能透露我們的團(tuán)隊(duì)跟他們的溝通內(nèi)容。

　　問：當(dāng)人們知道這個(gè)程序在你們的操作系統(tǒng)內(nèi)隱藏得如此之深，而且沒人記得你們提供過“選擇啟用”選項(xiàng)時(shí)，人們今后應(yīng)該如何繼續(xù)信任聯(lián)想的產(chǎn)品？

　　答：我們只能說，我們的確犯了錯(cuò)誤，應(yīng)當(dāng)為此道歉。這還遠(yuǎn)遠(yuǎn)不夠。所以我們?cè)诒局軉?dòng)了一項(xiàng)計(jì)劃，重塑外界對(duì)我們的信任。

　　我們會(huì)盡力采取合適的措施。在這一過程中，我們將變得更加強(qiáng)大。但要找到合適的方式卻需要經(jīng)過很長(zhǎng)時(shí)間。

　　我們不會(huì)假裝Superfish提供了他們想要提供的服務(wù)，不會(huì)假裝他們采取了正確的做法，也不會(huì)假裝什么事情都沒有發(fā)生。我們?cè)谶@些問題上都犯了錯(cuò)誤。

　　問：是否有證據(jù)顯示黑客能夠劫持這些證書來攻擊你們的用戶？

　　答：我們沒有發(fā)現(xiàn)這個(gè)漏洞被惡意利用。

　　問：你們能保證類似的情況不再發(fā)生嗎？

　　答：我們正在調(diào)查，本周末將會(huì)發(fā)表一份聲明。我想要給予1000%的保證。我們的首要措施是刪除這個(gè)軟件，把它連根拔掉。我們本周啟動(dòng)了一項(xiàng)計(jì)劃來確保這種事情不再發(fā)生，本周末將披露這項(xiàng)計(jì)劃。