[[128005]]

聯想集團CTO彼得·霍騰休斯(Peter Hortensius)

北京時間2月25日上午消息，聯想集團CTO彼得·霍騰休斯(Peter Hortensius)近日就預裝Superfish一事接受了《紐約時報》專訪，就此事發生的原因做出了解釋，并公開道歉，還透露了該公司的一些解決方案。

在用戶發現這家全球最大PC制造商預裝了Superfish廣告軟件，并將其隱藏在用戶和殺毒軟件難以發現的地方后，輿論嘩然。但更加糟糕的是，這款廣告軟件雖然只是為了給用戶發送精準廣告，但達成這一目的的方法卻是劫持網站用來與瀏覽器建立安全連接的授信證書。Superfish的這種做法可能導致用戶的電腦被黑客攻擊。

Superfish并沒有作出回應，但聯想上周發布了自動刪除工具，幫助用戶從聯想產品中徹底刪除Superfish，但用戶和安全研究人員表示，這似乎仍然不足以挽回局勢，人們今后難以繼續信任聯想。

以下為采訪概要：

問：Superfish是怎么安裝到聯想電腦中的？

答：最初的動機是產品團隊想要改善用戶體驗。有人希望通過一種新穎方式提升用戶的購物體驗，例如，當用戶尋找一款桌子時，我們能否為他們推薦另外一款類似的桌子？我們其實是為了改善用戶體驗。但事后看來，如果我們當初知道具體的部署方式，肯定不會預裝Superfish。

問：最初就此事向我發出警告的彼得·霍恩(Peter Horne)表示，他曾經在1月中旬通過你們的客服渠道將這個安全問題通知給聯想，但至今沒有任何反饋。你們最早是什么時候知道用戶不接受這種行為的？什么時候出采取了行動？

答：我們最早去年12月接到了投訴，但主要是關于網絡兼容性的。客戶當時說：“我做了這個，但卻得到了那個，出了什么情況？”今年1月，我們認為Superfish無法提供我們最初預想的體驗。那時，我們關閉了Superfish，還關閉了他們的服務器。

不幸的是，安全問題的根源不在這里，而在于這款軟件創建的證書。我們直到上周四才知道此事。

問：可是霍恩在1月中旬就將此事告知聯想，那是6個星期前的事情了。

答：我們那時是從網絡兼容性的角度來回應這一問題的，而不是安全角度。你可以對這種做法的對錯加以評判，但事實的確如此。我們當時以為關閉服務器就能解決問題，所以采取了那種措施。我們那時認為，Superfish用處不大，所以才開始將它從預裝軟件中剔除。

問：質量保證流程為什么沒有發現這個問題？什么樣的質量保證流程會允許在聯想設備中安裝這種廣告軟件？

答：按照高標準來講，負責審核預裝軟件的人員會與市場部的人碰面，告訴他們：“我們想做這些事情。”然后，他們會與工程團隊接觸。之后，我們會對這些軟件進行審核，確保其符合我們的政策。我們會確保這些軟件不會知道用戶的身份，確保這些軟件都提供“選擇啟用”選項。但他們使用的證書授權方式引發了安全漏洞，這一點被完全忽視了。

問：這一體驗中完全沒有“選擇啟用”選項。

答：當你購買聯想設備并啟動它時，這是眾多呈現在你面前的程序之一。在那時，你可以點擊一個按鈕，告訴我們你不想使用這個軟件。

問：我還得追問一句，這個“選擇啟用”模式究竟是什么樣子？沒有人記得見過這樣的選項。

答：我手頭也沒有，但我可以把它發給你。我們希望今后能采取恰當的方式。這也是我們解決這類問題的方法之一，希望今后能夠確保正確的發展方向。為了實現這個目標，我們會努力讓用戶了解這些程序會干些什么。

問：你們怎么會沒發現Superfish劫持了證書呢？

答：我們并沒有采取足夠的措施來了解Superfish是如何尋找和提供信息的。這的確是我們的錯。

問：單純切斷Superfish的服務器并沒有解決這個問題。

答：確實如此。今年1月，我們因為兼容性問題而關閉了服務器。但不幸的是，這并沒有解決安全問題，仍然有人可以劫持證書。我們周四和周五采取的措施是刪除證書，并刪除該應用的所有痕跡，通過這種做法來解決安全問題。

問：你們是否知道Superfish使用Komodia來提供證書？

答：Superfish說他們使用Komodia，但我們從沒有進行過調查。去年12月，我們沒有理由懷疑，因為Superfish的名聲很好，但我們的確應該多進行一些調查。在這個問題上，我不會辯解。

問：Superfish這樣的可視化搜索公司究竟會干什么事情？從邏輯上講，要進行“可視化搜索”，他們會記錄我看到的一切才能知道我可能在搜索什么信息。

答：我難以用更好的詞語來描述，但他們會獲得一個你所查看信息的簽名。所以如果你的鼠標懸停在一張圖片上，他們就會將這個簽名發回服務器，隨后借此匹配與你正在查看的信息最為接近的內容，然后將其發回到網頁上。這就是他們軟件的原理。

問：這么說我理解的沒錯，Superfish會從我在網上看到的所有信息中提取元數據，然后劫持我所在網站的證書，從而插入我可能想要點擊或購買的東西的圖片。

答：我是這么理解的。也就是說，如果我在尋找什么東西，Superfish可以為我提供一個備選方案。“我尋找花瓶，他們就給我展示一個類似的花瓶，或者展示來自不同商家的同一個花瓶。”至少大致理念如此。

問：技術人員對這種做法都深感憤怒。當你們發現Superfish讓你們的用戶很容易遭到黑客攻擊時，你們的團隊有什么反應？

答：我們感到無比失望。這可能是一種比較禮貌的說法。

問：你們此后與Superfish溝通過嗎？

答：此事曝光后，我們曾經向他們確認過此事。我本人并沒有與他們溝通過。但我不能透露我們的團隊跟他們的溝通內容。

問：當人們知道這個程序在你們的操作系統內隱藏得如此之深，而且沒人記得你們提供過“選擇啟用”選項時，人們今后應該如何繼續信任聯想的產品？

答：我們只能說，我們的確犯了錯誤，應當為此道歉。這還遠遠不夠。所以我們在本周啟動了一項計劃，重塑外界對我們的信任。

我們會盡力采取合適的措施。在這一過程中，我們將變得更加強大。但要找到合適的方式卻需要經過很長時間。

我們不會假裝Superfish提供了他們想要提供的服務，不會假裝他們采取了正確的做法，也不會假裝什么事情都沒有發生。我們在這些問題上都犯了錯誤。

問：是否有證據顯示黑客能夠劫持這些證書來攻擊你們的用戶？

答：我們沒有發現這個漏洞被惡意利用。

問：你們能保證類似的情況不再發生嗎？

答：我們正在調查，本周末將會發表一份聲明。我想要給予1000%的保證。我們的首要措施是刪除這個軟件，把它連根拔掉。我們本周啟動了一項計劃來確保這種事情不再發生，本周末將披露這項計劃。