2015年的春節(jié)還未結(jié)束，不過聯(lián)想恐怕沒什么心情再繼續(xù)過下去。在新舊交接之際，這家PC巨頭被發(fā)現(xiàn)在自家電腦上預(yù)裝了一款有木馬嫌疑的第三方廣告軟件“Superfish”，在海外遇到了大麻煩。

聯(lián)想隨后就此事道歉，發(fā)布了詳細(xì)的刪除教程，和殺毒軟件公司合作能直接移除該軟件，聯(lián)想集團(tuán)CTO Peter Hortensius也通過媒體采訪數(shù)度發(fā)聲，解釋了為何會發(fā)生這種事情。但以上做法未能平息所有用戶的怒火，有用戶開始向法院起訴聯(lián)想，還有律師事務(wù)所針對該事件展開集體訴訟調(diào)查。而就在今天，聯(lián)想國際官網(wǎng)“Lenovo.com”也遭到黑客攻擊被短暫篡改，疑似受Superfish事件影響。

要理解Superfish事件的嚴(yán)重性，得從這款軟件的危害性說起。

2月19日，Wired一篇報道稱，如果你在2014年8月后購買了一臺聯(lián)想筆記本，那么它很可能已經(jīng)安裝了一款名為“Superfish”的軟件。Superfish沒有界面，通過監(jiān)控用戶上網(wǎng)了解用戶喜好，并在瀏覽的網(wǎng)頁中向?qū)Ψ讲迦刖珳?zhǔn)的定向廣告。

收集用戶偏好并不少見，但Superfish監(jiān)控用戶的技術(shù)令人擔(dān)憂。它使用一種叫“中間人攻擊”的手段，在電腦上預(yù)置自簽名的授信證書，劫持了網(wǎng)站和瀏覽器之間的加密連接。Superfish的做法讓用戶電腦更容易遭受黑客攻擊——如果制作Superfish的公司被攻破，那么所有預(yù)裝該軟件的電腦都面臨信息泄露，特別是用戶在進(jìn)行網(wǎng)上交易時。

圖/TNW，Superfish會在Google搜索中插入自己的廣告

一個被預(yù)裝、開機(jī)自啟的后臺程序，監(jiān)控用戶上網(wǎng)，向用戶瀏覽的網(wǎng)頁插入廣告，運(yùn)用了中間人攻擊劫持加密連接，事件的主角還是全球最大的PC制造商，聽起來都覺得可怕（當(dāng)然，在現(xiàn)在看，它并未對用戶造成嚴(yán)重的直接損失）。

盡管事后補(bǔ)救尚算合格，但在事件的早期階段，聯(lián)想幾乎犯了所有該犯的錯誤。

聯(lián)想集團(tuán)CTO Peter Hortensius接受紐約時報采訪時，公開了預(yù)裝Superfish軟件的來龍去脈。

最初，聯(lián)想的產(chǎn)品團(tuán)隊(duì)希望改善用戶體驗(yàn)，譬如用戶搜索一款桌子時，能否為其推薦類似的桌子？他們找到了Superfish，并提出合作。

合作進(jìn)行的很順利，Superfish預(yù)裝到了聯(lián)想電腦。不過顯然這其中出了紕漏，Peter Hortensius稱，“按聯(lián)想內(nèi)部的質(zhì)量保證流程來說，負(fù)責(zé)審核預(yù)裝軟件的人員會和市場部、工程團(tuán)隊(duì)碰面，然后對軟件進(jìn)行審核，以保證符合聯(lián)想的政策。我們會確認(rèn)它們不知道用戶的身份信息，以及提供‘是否開啟’的選項(xiàng)，但證書授權(quán)方式引發(fā)的安全漏洞，被忽視掉了?！?/p>

預(yù)裝Superfish的電腦上市后，有用戶開始陸續(xù)反饋，使用Google搜索時有廣告插入，這些用戶沒有看到“是否開啟”的選項(xiàng)。15年1月，發(fā)現(xiàn)安全漏洞的人告訴聯(lián)想社區(qū)授信證書的問題，但社區(qū)管理員Mark Hopkins并未予以重視，他在2月份還為Superfish辯護(hù)稱這是一款能為用戶提供導(dǎo)購價值的軟件。

而在事件另一端，Superfish則顯得很吊詭。

TNW事后詢問Superfish CEO Adi Pinhas，是否了解自己頒發(fā)授信證書時，他回避了這個問題，只是說Superfish在安裝時會跳出一個選擇界面，用戶有權(quán)決定是否使用。令人震驚的是，Adi Pinhas聲稱：“我們昨天了解到了授信證書的潛在問題?！焙茈y想象，一家利用自簽名根證書劫持加密連接的公司之前會不知道它的危害所在。

Adi Pinhas還稱，目前Superfish的裝機(jī)量已經(jīng)超過了4000萬臺，不過他并未解釋這個數(shù)據(jù)是否還有其它廠商合作預(yù)裝。

而聯(lián)想集團(tuán)CTO Peter Hortensius表示，由于兼容性問題，在1月份時官方已經(jīng)關(guān)閉了Superfish服務(wù)器。

事件到此，差不多算完結(jié)了。聯(lián)想推出了開放源碼的卸載工具，并積極道歉、公開事件細(xì)節(jié)。對于身在國內(nèi)的我們來說，這只是又一起供圍觀的無關(guān)事件，Superfish并未預(yù)裝在國內(nèi)電腦上。不過它的影響將會持續(xù)下去，如果說正常的產(chǎn)品流程不能保障質(zhì)量，那需要怎樣的流程？大家該如何繼續(xù)信賴這家公司呢？聯(lián)想需要回答這些問題。

ps：如有手上用的是海淘聯(lián)想電腦的童鞋，可點(diǎn)擊 https://filippo.io/Badfish/ 檢查是否有預(yù)裝該應(yīng)用，這是一位開發(fā)者推出了檢測頁面。需要卸載，可參照聯(lián)想官方教程 http://support.lenovo.com/us/en/product_security/superfish_uninstall 。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。