联想的 Superfish 事件到底是怎么回事?

春节期间,国人都在享受愉快的假期,而中国 IT 的巨头级企业联想却遇到了麻烦。国外媒体称联想的消费级笔记本电脑中预装了一款「Superfish」的广告软件,存在严重安全漏洞,引发整个社会舆论的大哗。

这几天事件持续发酵,虽然联想的 CTO 出面解释了与 Superfish 的合作,表示联想也是受害者。但消费者不依不饶,昨天,联想官方网站又遭到黑客攻击。

这个「Superfish」事件到底是怎么回事呢?

联想为什么要装Superfish

联想CTO的解释说的冠冕堂皇,联想要在用户做互联网搜索的时候,提供给用户相关的内容,提升用户使用联想的体验,增强产品的的竞争力。当用户搜索床垫的信息时,就通过广告软件给用户提供可选择的低价床垫,如果恰好有用户喜欢的样式,用户可以通过广告直接购买到最低价的产品。

当然,这个解释是官方的说法。其实联想的这个举动和现在手机 ROM 很类似,联想不是个例,前一段时间三星甚至在澳大利亚销售的智能电视中内置了广告软件。

联想无非是要做一个软硬件服务的结合,你买了联想的硬件,联想只能赚一次钱。而联想与「Superfish」合作,除了所谓的用户体验提升以外,还有广告分成的好处,后续收入源源不断。

这个和你买了小米手机,继续买小米的主题,买了 OPPO 手机,就玩 OPPO 手机里面的游戏是一个道理。通过软件和服务,小米可以卖主题,OPPO 可以游戏分成赚钱。

硬件是一个入口,联想以前没有把这个入口利用好赚钱,现在开始利用了。只是联想现在先从广告开始,选了一个不太靠谱的 Superfish,造成了今天的麻烦。

Superfish 做错了什么?

Superfish 成立于 2006 年,在经过了四年的研发后才发布了自己的首款产品。去年,该公司刚刚开始进军全新的应用开发领域。

Superfish 在广告应用中所使用的技术是非常先进的,它内置的算法可以帮助用户找到和发现产品,并且可以在搜索引擎中对购物进行图片分析、搜索以找到更低的价格。其实算是广告软件中比较优秀的。

Superfish 依赖于搜索引擎,而谷歌去年默认开启了 SSL 连接协议,Superfish 无法继续在谷歌搜索结果中显示自己的广告内容。于是它开始耍流氓,以中间人的方式劫持 SSL 链接。

Superfish 采用了 komodia 公司的 SDK,将一个自签名数字证书植入到用户计算机。这不仅仅可以显示广告内容,还可以在用户不知情的情况下截获所有基于 TLS 的加密通讯内容,或许是 IMAPS 协议收取邮箱时的密码,或许是一次 HTTPS 银行登录表单。这是非常非常危险的,用户的隐私和密码都可能泄露。

而更糟的是证书私钥选择了统一的密码(公司名:komodia),这个极其简单的密码现在被破解并且到处流传。

这意味着,不仅仅是 Superfish 公司可以窥探用户的隐私,而是任何人都可以在同一网络获得用户隐私信息。这个简直就是要逆天。

本来是为了显示广告,采用的手段却是耍流氓,而结果是恐怖的隐私和密码泄露。而联想偏偏在自己的笔记本电脑里面预装了它……消费者的愤怒就不难理解了。

联想做错什么?

软硬件一体体系化,赚去综合利润是业界的共识,无论是硬件还是软件,都拼命给用户增加各种各样的服务,试图获取后续的利润。但是硬件厂商有责任帮助用户把关,尊重用户的选择权,尊重用户的隐私,保护用户是数据安全。选择靠谱的软件和服务。

联想在与 Superfish 合作前,没把对方的底摸清,没把对方的技术彻底弄明白,把风险评估清楚,造成消费者隐私的巨大危险,这是联想的错误。

希望中国企业以后都要以此为戒,切不可为了一时的小利毁了未来。

 

Leave a Comment