春節(jié)期間，中國人都在享受愉快的假期，本來不應(yīng)該有什么大新聞。但是中國IT的巨頭級企業(yè)聯(lián)想?yún)s遇到了麻煩。媒體稱聯(lián)想的消費(fèi)級筆記本電腦中預(yù)裝了一款“Superfish”的廣告軟件，存在嚴(yán)重安全漏洞，引發(fā)整個社會輿論的大嘩。

這幾天隨著事件的持續(xù)發(fā)酵，聯(lián)想的CTO出面道歉并且解釋了與Superfish的合作，表示聯(lián)想也是受害者。但是消費(fèi)者不依不饒，昨天，聯(lián)想官方網(wǎng)站遭到黑客攻擊，疑似與“Superfish”事件有關(guān)。

這個“Superfish”事件到底是怎么回事？聯(lián)想應(yīng)該吸取什么教訓(xùn)呢？

一、聯(lián)想的初衷

從聯(lián)想CTO的解釋看，聯(lián)想的初衷其實很簡單。在用戶做互聯(lián)網(wǎng)搜索的時候，提供給用戶相關(guān)的內(nèi)容，提升用戶使用聯(lián)想的體驗，增強(qiáng)產(chǎn)品的的競爭力。當(dāng)用戶搜索椅子的信息時，就通過廣告軟件給用戶提供可選擇的椅子，如果恰好有用戶喜歡的樣式，用戶可以通過廣告直接購買。

當(dāng)然，這個解釋是官方的說法。其實聯(lián)想的這個舉動和現(xiàn)在小米的MIUI很類似，硬件附帶軟件服務(wù)，獲得收益。這個不是個例，三星前一段甚至在智能電視上都安裝了廣告插件。

聯(lián)想無非是要做一個軟硬件服務(wù)的結(jié)合。你買了聯(lián)想的硬件，聯(lián)想只能賺一次錢。而聯(lián)想與“Superfish”合作，除了所謂的用戶體驗提升以外，還有廣告分成的好處，后續(xù)收入源源不斷。

這個和買了小米手機(jī)，你還會買小米的主題，買了OPPO手機(jī)，就玩OPPO手機(jī)里面的游戲是一個道理。通過軟件和服務(wù)，硬件廠商可以持續(xù)賺錢。

硬件是一個入口，聯(lián)想以前沒有把這個入口利用好賺錢，現(xiàn)在開始利用了。只是聯(lián)想現(xiàn)在先從廣告開始，選了一個不太靠譜的Superfish，造成了今天的麻煩。

二、Superfish做錯了什么？

Superfish成立于2006年，在經(jīng)過了四年的研發(fā)后才發(fā)布了自己的首款產(chǎn)品。去年，該公司剛剛開始進(jìn)軍全新的應(yīng)用開發(fā)領(lǐng)域。

Superfish在廣告應(yīng)用中所使用的技術(shù)是非常先進(jìn)的，它內(nèi)置的算法可以幫助用戶找到和發(fā)現(xiàn)產(chǎn)品，并且可以在搜索引擎中對購物進(jìn)行圖片分析、搜索以找到更低的價格。其實算是廣告軟件中比較優(yōu)秀的。

Superfish依賴于搜索引擎，而谷歌去年默認(rèn)開啟了SSL連接協(xié)議，Superfish無法繼續(xù)在谷歌搜索結(jié)果中顯示自己的廣告內(nèi)容。于是它開始耍流氓，以中間人的方式劫持SSL鏈接。

Superfish采用了komodia公司的SDK，將一個自簽名數(shù)字證書植入到用戶計算機(jī)。這不僅僅可以顯示廣告內(nèi)容，還可以在用戶不知情的情況下截獲所有基于TLS的加密通訊內(nèi)容，或許是IMAPS協(xié)議收取郵箱時的密碼，或許是一次HTTPS銀行登錄表單。這是非常非常危險的，用戶的隱私和密碼都可能泄露。而更糟的是證書私鑰選擇了統(tǒng)一的密碼（公司名：komodia），這個極其簡單的密碼現(xiàn)在被破解并且到處流傳。

這意味著，不僅僅是Superfish公司可以窺探用戶的隱私，而是任何人都可以在同一網(wǎng)絡(luò)獲得用戶隱私信息。這個簡直就是要逆天。

本來是為了顯示廣告，采用的手段卻是耍流氓，而結(jié)果是恐怖的隱私和密碼泄露。而聯(lián)想偏偏在自己的筆記本電腦里面預(yù)裝了它……，消費(fèi)者的憤怒就不難理解了。雖然聯(lián)想本身就是最大的受害者（廣告分成恐怕還沒拿到手，信任危機(jī)就來了），但是責(zé)任還是要承擔(dān)的，CTO出來道歉也就在所難免了。

三、Superfish事件的教訓(xùn)是什么？

從小米之后，軟硬件一體體系化，賺取綜合利潤就是業(yè)界的共識，無論是硬件還是軟件，都拼命給用戶增加各種各樣的服務(wù)，試圖獲取后續(xù)的利潤。

但是在這個過程中，消費(fèi)者的隱私和選擇權(quán)被漠視了。用戶花錢買到了一款硬件產(chǎn)品，附帶了一大堆軟件和服務(wù)，而消費(fèi)者并不知道這些軟件和服務(wù)是否安全。

硬件廠商即使想做體系，也有責(zé)任幫助用戶把關(guān)，尊重用戶的選擇權(quán)，尊重用戶的隱私，保護(hù)用戶是數(shù)據(jù)安全。選擇靠譜的軟件和服務(wù)。

而在隱私權(quán)淡漠的中國，廠商往往的利益優(yōu)先，不去做這些工作的。我們看看自己的智能手機(jī)，里面預(yù)裝了多少東西，這些APP涉及哪些權(quán)限？

什么通話記錄、短信內(nèi)容、通訊錄，錄音、拍照、位置、攝像頭，連個手電筒軟件都要用戶這些隱私，你是想干什么？

這種思路到了注重隱私權(quán)的國外，自然要摔跟頭。聯(lián)想在與Superfish合作前，沒把對方的底摸清，沒把對方的技術(shù)徹底弄明白，把風(fēng)險評估清楚，就貿(mào)然預(yù)裝，挨了板子也就不冤枉了。本來聯(lián)想、華為這些中國企業(yè)在海外就被歧視，這次事件只會讓聯(lián)想更困難，真是因小失大。芝麻沒撿到，西瓜卻反而丟了.......

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。