前进中的曲折,联想的Superfish事件
春节期间,中国人都在享受愉快的假期,本来不应该有什么大新闻。但是中国IT的巨头级企业联想却遇到了麻烦。媒体称联想的消费级笔记本电脑中预装了一款“Superfish”的广告软件,存在严重安全漏洞,引发整个社会舆论的大哗。
这几天随着事件的持续发酵,联想的CTO出面道歉并且解释了与Superfish的合作,表示联想也是受害者。但是消费者不依不饶,昨天,联想官方网站遭到黑客攻击,疑似与“Superfish”事件有关。
这个“Superfish”事件到底是怎么回事?联想应该吸取什么教训呢?
一、联想的初衷
从联想CTO的解释看,联想的初衷其实很简单。在用户做互联网搜索的时候,提供给用户相关的内容,提升用户使用联想的体验,增强产品的的竞争力。当用户搜索椅子的信息时,就通过广告软件给用户提供可选择的椅子,如果恰好有用户喜欢的样式,用户可以通过广告直接购买。
当然,这个解释是官方的说法。其实联想的这个举动和现在小米的MIUI很类似,硬件附带软件服务,获得收益。这个不是个例,三星前一段甚至在智能电视上都安装了广告插件。
联想无非是要做一个软硬件服务的结合。你买了联想的硬件,联想只能赚一次钱。而联想与“Superfish”合作,除了所谓的用户体验提升以外,还有广告分成的好处,后续收入源源不断。
这个和买了小米手机,你还会买小米的主题,买了OPPO手机,就玩OPPO手机里面的游戏是一个道理。通过软件和服务,硬件厂商可以持续赚钱。
硬件是一个入口,联想以前没有把这个入口利用好赚钱,现在开始利用了。只是联想现在先从广告开始,选了一个不太靠谱的Superfish,造成了今天的麻烦。
二、Superfish做错了什么?
Superfish成立于2006年,在经过了四年的研发后才发布了自己的首款产品。去年,该公司刚刚开始进军全新的应用开发领域。
Superfish在广告应用中所使用的技术是非常先进的,它内置的算法可以帮助用户找到和发现产品,并且可以在搜索引擎中对购物进行图片分析、搜索以找到更低的价格。其实算是广告软件中比较优秀的。
Superfish依赖于搜索引擎,而谷歌去年默认开启了SSL连接协议,Superfish无法继续在谷歌搜索结果中显示自己的广告内容。于是它开始耍流氓,以中间人的方式劫持SSL链接。
Superfish采用了komodia公司的sdk,将一个自签名数字证书植入到用户计算机。这不仅仅可以显示广告内容,还可以在用户不知情的情况下截获所有基于TLS的加密通讯内容,或许是IMAPS协议收取邮箱时的密码,或许是一次HTTPS银行登录表单。这是非常非常危险的,用户的隐私和密码都可能泄露。而更糟的是证书私钥选择了统一的密码(公司名:komodia),这个极其简单的密码现在被破解并且到处流传。
这意味着,不仅仅是Superfish公司可以窥探用户的隐私,而是任何人都可以在同一网络获得用户隐私信息。这个简直就是要逆天。
本来是为了显示广告,采用的手段却是耍流氓,而结果是恐怖的隐私和密码泄露。而联想偏偏在自己的笔记本电脑里面预装了它……,消费者的愤怒就不难理解了。虽然联想本身就是最大的受害者(广告分成恐怕还没拿到手,信任危机就来了),但是责任还是要承担的,CTO出来道歉也就在所难免了。
三、Superfish事件的教训是什么?
从小米之后,软硬件一体体系化,赚取综合利润就是业界的共识,无论是硬件还是软件,都拼命给用户增加各种各样的服务,试图获取后续的利润。
但是在这个过程中,消费者的隐私和选择权被漠视了。用户花钱买到了一款硬件产品,附带了一大堆软件和服务,而消费者并不知道这些软件和服务是否安全。
硬件厂商即使想做体系,也有责任帮助用户把关,尊重用户的选择权,尊重用户的隐私,保护用户是数据安全。选择靠谱的软件和服务。
而在隐私权淡漠的中国,厂商往往的利益优先,不去做这些工作的。我们看看自己的智能手机,里面预装了多少东西,这些APP涉及哪些权限?
什么通话记录、短信内容、通讯录,录音、拍照、位置、摄像头,连个手电筒软件都要用户这些隐私,你是想干什么?
这种思路到了注重隐私权的国外,自然要摔跟头。联想在与Superfish合作前,没把对方的底摸清,没把对方的技术彻底弄明白,把风险评估清楚,就贸然预装,挨了板子也就不冤枉了。本来联想、华为这些中国企业在海外就被歧视,这次事件只会让联想更困难,真是因小失大。芝麻没捡到,西瓜却反而丢了.......