联 想 在 所 有 电 脑 里 装 了 间 谍 软 件 ， 现 在 CTO 出 来 道 歉 了

联 想 CTO 彼 得 · 霍 腾 休 斯 解 释 了 Superfish 事 件 的 原 因 ， 以 及 下 一 步 计 划 本 文 由 《 纽 约 时 报 》 授 权 《 好 奇 心 日 报 》 发 布 ， 即 使 我 们 允 许 了 也 不 许 转 载 。 联 想 的 道 歉 来 了 。 消 费 者 对 联 想 这 个 世 界 上 最 大 的 PC 制 造 商 的 信 心 ， 在 上 周 遭 遇 跳 水 。 有 用 户 发 现 ， 联 想 一 直 在 发 货 的 PC 机 的 操 作 系 统 里 竟 然 有 间 谍 软 件 —— 计 算 机 界 称 之 为 广 告 软 件 （adware）—— 而 预 装 在 操 作 系 统 里 的 间 谍 软 件 ， 恰 好 是 很 难 被 消 费 者 和 反 病 毒 产 品 发 现 的 。 随 后 事 态 变 得 更 糟 糕 了 。 这 款 广 告 软 件 本 来 是 想 为 联 想 的 用 户 提 供 有 针 对 性 的 广 告 的 ， 但 和 联 想 合 作 的 公 司 Superfish 实 现 这 一 功 能 的 方 法 是 劫 持 受 信 任 的 证 书 ， 而 受 信 任 的 证 书 是 网 站 用 来 和 网 络 浏 览 器 建 立 安 全 链 接 的 。 而 通 过 这 种 方 法 取 得 电 脑 完 全 控 制 权 的 不 仅 有 Superfish 公 司 ， 还 有 黑 客 。 似 乎 几 乎 没 有 否 认 的 空 间 了 。 被 Superfish 用 来 劫 持 这 些 证 书 的 公 司 叫 Komodia ， 它 专 精 于 劫 持 加 密 通 讯 。Superfish 对 此 不 予 置 评 。 联 想 声 称 ， 它 在 上 周 从 系 统 中 清 除 了 Superfish 和 Komodia 的 所 有 痕 迹 ， 但 消 费 者 和 安 全 研 究 人 员 说 ， 仅 仅 这 样 做 是 不 够 的 。 许 多 人 问 ， 未 来 凭 什 么 相 信 联 想 ？ 在 周 二 的 一 次 采 访 中 ， 联 想 CTO 彼 得 · 霍 腾 休 斯 （Peter Hortensius） 努 力 解 释 了 这 一 事 件 发 生 的 原 因 ， 以 及 联 想 下 一 步 计 划 做 什 么 。 采 访 内 容 按 篇 幅 要 求 进 行 了 编 辑 ： Q：Superfish 当 初 是 怎 么 进 入 联 想 的 电 脑 的 ？ A： 最 初 这 么 做 的 原 因 ， 是 产 品 团 队 被 问 到 ：“ 我 们 能 做 点 儿 什 么 来 改 进 消 费 者 体 验 呢 ？” 所 以 就 有 人 想 到 了 一 种 创 新 的 方 法 来 改 进 消 费 者 的 购 物 体 验 —— 这 种 方 法 不 是 要 主 宰 他 们 的 购 物 体 验 ， 而 只 是 在 消 费 者 浏 览 一 款 桌 子 的 时 候 ， 为 他 建 议 一 款 和 他 在 看 的 桌 子 外 观 相 似 的 产 品 。 最 初 的 动 机 就 是 为 了 改 善 这 类 体 验 。 很 显 然 ， 现 在 回 过 头 去 看 ， 如 果 当 时 知 道 这 个 功 能 是 如 何 执 行 的 话 ， 我 们 是 绝 不 会 在 系 统 里 预 装 它 的 。 Q： 技 术 专 家 彼 得 · 霍 恩 （Peter Horne） 最 先 提 醒 我 注 意 这 个 问 题 ， 他 说 他 曾 经 在 一 月 中 旬 通 过 你 们 的 客 服 渠 道 提 醒 了 你 们 有 这 个 安 全 问 题 ， 但 直 到 现 在 之 前 ， 你 们 没 有 做 任 何 应 对 。 你 最 早 是 什 么 时 候 意 识 到 这 种 做 法 对 于 你 们 的 客 户 来 说 是 不 可 接 受 的 ？ 你 们 又 是 什 么 时 候 采 取 措 施 的 ？ A： 我 们 最 初 得 到 投 诉 是 在 12 月 ， 但 这 些 投 诉 更 多 是 在 说 网 络 兼 容 问 题 。 顾 客 们 说 “ 嘿 ， 我 做 了 这 个 ， 却 看 到 了 那 个 ， 这 是 怎 么 回 事 ？” 我 们 在 1 月 得 出 结 论 ， 认 为 Superfish 无 法 提 供 我 们 之 前 想 要 的 用 户 体 验 。 当 时 我 们 关 闭 了 Superfish 软 件 ， 并 关 闭 了 在 Superfish 公 司 那 端 的 服 务 器 。 不 幸 的 是 ， 安 全 漏 洞 不 在 这 里 ， 而 在 于 软 件 创 建 的 证 书 。 而 我 们 真 的 是 直 到 上 周 四 才 知 道 这 一 点 ， 周 四 中 午 的 时 候 才 知 道 的 。 Q： 我 必 须 在 这 里 多 说 几 句 。 霍 恩 1 月 中 旬 就 把 这 个 安 全 问 题 告 诉 了 联 想 ， 那 是 6 个 星 期 前 的 事 。 A： 那 个 时 候 我 们 是 从 网 络 兼 容 性 的 角 度 、 而 不 是 安 全 的 角 度 回 应 这 个 问 题 的 。 你 可 以 争 论 这 么 做 是 对 还 是 错 ， 但 这 就 是 当 时 我 们 看 待 这 个 问 题 的 角 度 。 我 们 当 时 认 为 ， 关 闭 服 务 器 就 能 解 决 这 个 问 题 ， 而 且 我 们 也 这 么 做 了 。 当 时 我 们 的 结 论 是 ，Superfish 不 是 很 有 用 ， 这 也 是 我 们 开 始 把 它 从 预 装 软 件 里 去 除 掉 的 原 因 。 Q： 为 什 么 这 个 问 题 没 有 被 质 量 检 验 工 序 查 出 来 呢 ？ 什 么 样 的 质 量 检 验 工 序 会 让 联 想 在 电 脑 里 安 装 这 类 广 告 软 件 呢 ？ A： 在 高 层 ， 负 责 界 定 这 些 产 品 内 容 的 团 队 会 在 市 场 上 看 到 一 些 东 西 ， 然 后 他 们 就 会 说 “ 这 个 东 西 是 我 们 想 做 的 ”， 然 后 他 们 会 组 织 一 支 工 程 团 队 。 接 下 来 ， 我 们 就 会 对 这 个 产 品 进 行 检 查 ， 确 保 它 符 合 我 们 的 政 策 和 常 规 做 法 。 我 们 会 确 保 它 不 会 知 道 是 谁 在 用 电 脑 、 确 保 用 户 可 以 选 择 使 用 或 者 不 使 用 它 。 但 由 它 们 使 用 的 证 书 授 权 设 计 导 致 的 安 全 漏 洞 ， 被 我 们 完 全 漏 掉 了 。 Q： 没 有 任 何 迹 象 显 示 这 个 体 验 是 可 以 让 用 户 选 择 的 。 A： 当 你 买 到 一 台 联 想 电 脑 并 开 机 的 时 候 ， 在 所 有 展 示 给 你 的 软 件 里 就 有 这 一 款 ， 这 个 时 候 你 可 以 点 击 一 个 写 着 “ 我 不 想 用 这 款 软 件 ” 的 按 钮 。 Q： 我 又 得 多 说 几 句 了 。 关 于 让 用 户 选 择 的 界 面 是 什 么 样 的 ？ 没 人 记 得 任 何 关 于 这 个 体 验 是 可 供 选 择 的 事 。 A： 我 手 头 没 有 ， 不 过 我 会 拿 到 它 发 给 你 。 我 们 要 改 进 用 户 进 行 选 择 的 方 式 。 我 们 现 在 既 在 修 复 这 个 问 题 ， 又 在 改 进 用 户 进 行 选 择 的 方 式 。 最 终 我 们 会 用 更 平 实 的 英 语 ， 努 力 向 用 户 展 示 这 些 软 件 的 功 用 。 Q： 你 们 又 是 如 何 漏 掉 Superfish 在 劫 持 证 书 这 样 的 事 实 的 呢 ？ A： 我 们 没 能 足 够 彻 底 地 理 解 Superfish 发 现 和 提 供 信 息 的 方 式 。 过 错 在 我 们 这 里 。 我 们 犯 了 错 。 Q： 只 是 关 闭 Superfish 的 服 务 器 ， 并 没 有 解 决 问 题 。 A： 完 全 正 确 。1 月 时 ， 我 们 关 掉 了 服 务 器 ， 以 应 对 兼 容 性 问 题 。 但 不 幸 的 是 ， 这 一 点 儿 也 没 能 解 决 有 人 可 以 劫 持 证 书 这 个 安 全 问 题 。 我 们 在 周 四 和 周 五 采 取 了 措 施 来 清 除 证 书 ， 并 清 除 这 个 应 用 的 所 有 痕 迹 ， 这 才 是 解 决 安 全 问 题 的 办 法 。 Q： 你 们 知 道 Superfish 是 用 Komodia 来 提 供 它 的 证 书 的 吗 ？ A：Superfish 告 诉 我 们 他 们 在 使 用 Komodia ， 但 我 们 从 来 没 有 去 调 查 过 Komodia 。12 月 时 ， 我 们 没 有 理 由 对 此 产 生 怀 疑 。Superfish 过 去 的 声 誉 很 好 ， 但 我 们 本 应 进 行 深 入 调 查 。 对 此 我 不 做 争 辩 。 Q： 像 Superfish 这 样 的 图 像 搜 索 公 司 实 际 上 是 做 什 么 的 ？ 从 逻 辑 上 说 ， 它 似 乎 在 执 行 “ 图 像 搜 索 ”， 但 它 应 该 已 经 记 录 了 我 正 在 看 的 所 有 东 西 ， 因 此 才 知 道 我 可 能 在 搜 索 什 么 。 A： 没 有 更 恰 当 的 词 来 形 容 ， 但 它 们 其 实 是 取 了 你 正 在 看 的 东 西 的 一 个 签 名 （signature）。 所 以 如 果 你 让 鼠 标 在 一 张 图 片 上 停 留 的 话 ， 它 们 就 会 把 这 个 签 名 发 回 它 们 的 服 务 器 ， 然 后 把 和 你 正 在 看 的 东 西 和 与 它 相 近 的 东 西 进 行 匹 配 ， 并 把 结 果 返 回 来 （ 到 网 页 上 ）。 这 就 是 它 们 的 软 件 的 神 奇 功 能 。 Q： 所 以 如 果 我 理 解 得 没 错 的 话 ，Superfish 是 抽 取 了 我 在 网 上 看 到 的 一 切 东 西 的 元 数 据 ， 然 后 劫 持 我 正 在 上 的 网 站 的 证 书 ， 并 在 网 页 中 插 入 一 张 我 可 能 点 击 并 购 买 的 东 西 的 图 片 ？ A： 这 也 正 是 我 的 理 解 。 它 的 思 路 是 ， 如 果 我 正 在 看 某 物 ，Superfish 就 能 为