|
《纽约时报》本周采访了联想首席技术官皮特·霍腾休斯(Peter Hortensius)。霍腾休斯就联想在PC中预装广告软件Superfish,从而引入严重安全漏洞一事进行了回应。 在采访的开始,《纽约时报》提出了一个简单的问题:Superfish是如何进入联想产品的。霍腾休斯表示:“最初的动机在于,产品团队遇到了这样的问题:‘我们能否采取一些措施,去改善用户体验?’一些人提出,可以以创新的方式去改善用户的购物体验。例如,当用户查看一张桌子时,我们能否推荐看起来类似这张桌子的产品?” 然而业内人士指出,实际上,这并非联想的主要动机。对PC厂商而言,即使是预装无害的软件也并不是为了改善用户体验,而是为了赚钱。尽管几乎没有用户喜欢无用的预装软件,PC厂商仍会进行这样的预装。 霍腾休斯随后的一些说法也令人惊讶。他表示:“很明显,回顾过去,如果我们知道这一软件的安装方式,那么我们永远都不会这样做。”霍腾休斯是联想的首席技术官,他本应当知道联想采用的技术,如果他不了解Superfish的技术,那么也应当主动去弄清楚。然而,他似乎并没有这样做。 在随后的采访中,霍腾休斯坚称,联想于1月份开始删除PC中预装的Superfish,这完全是因为用户对这款产品的“用户体验”感到不满。 《纽约时报》向霍腾休斯指出,今年早些时候,皮特·霍恩(Peter Horne)曾试图告知联想Superfish存在的信息安全风险,但联想对此无动于衷,直到东窗事发。霍腾休斯并未对这一问题做出正面回应,仅仅表示联想最初决定删除Superfish只是由于这款软件未能带来良好的在线购物体验。 美国科技博客BGR指出,霍腾休斯在接受采访时的表现令人愤怒,他的拙劣回答可能导致人们再也不想购买联想电脑。 以下为皮特·霍腾休斯接受《纽约时报》问答实录: 问:Superfish最开始如何进入了联想电脑? 答:这样做的最初动机在于,产品团队被问到这类问题:“我们能否采取措施改善用户体验?”一些人提出,可以通过创新的方式来改善用户的购物体验。这并不是控制他们的体验,而是例如,当用户查看一张桌子时,我们能否推荐看起来类似的产品?这里的动机就是提升用户体验。很明显,回顾过去,如果我们知道这一软件的实现方式,我们绝不会这样做。 问:技术专家皮特·霍恩(Peter Horne)最开始提醒了我这一问题的存在。他表示,他曾于1月中旬通过客服渠道向联想警示这一问题,但联想并没有采取任何措施。你们何时知道,这样的行为对用户来说是不可接受的?你们何时采取了行动? 答:我们最初于去年12月接到了投诉,不过更多的是关于网页兼容性问题。用户表示:“我进行了这样的操作,得到了这样的反馈,这是什么情况?”今年1月,我们认定,Superfish无法提供期望的用户体验。当时,我们决定关闭Superfish,关闭相关的服务器。 不幸的是,我们的动机并不是信息安全问题。我们确实直到上周四中午才了解到这一问题。 问:这里我要追问一句。霍恩于1月中旬向联想指出了这一信息安全漏洞,而这是在6星期之前。 答:当时,我们从网页兼容性的角度来看待这一问题,而不是信息安全的角度。你可以讨论这样做是对是错,但我们就是这样去看待这一问题的。我们当时认为,关闭服务器可以解决问题,而确实也这样去做了。当时我们认为,Superfish不是非常有用,因此开始从预装包中删除这一软件。 问:这一问题为何没有在质量保障流程中被发现?什么样的质量保障流程会允许在联想电脑中安装这样的广告软件? 答:在较高的层面上,定义软件预装的团队会关注市场,并判断:“我们想要去做这件事。”随后他们会引入工程团队。在这之后,我们会对此类软件进行审核,确保符合我们的政策和行为方式。我们将确保,这些软件不会识别个人用户的身份,确保用户有选择权。不过,关于由软件的证书授权设计带来的信息安全漏洞,这是我们完全没有覆盖到的。 问:在这一体验中并没有看到用户的选择权。 答:当你购买联想电脑并开机时,这是展示给你的多款软件之一。当时,你可以点击按钮并说明:“我不希望使用这一软件。” 问:我还要再追问一句。这样的选择权看起来是什么样的?无人能回忆起有这样的选择权存在。 答:我手上并没电脑,但我可以向你解释。我们希望继续优化这样的选择权。这其中的部分工作在于,我们正试图解决这一问题,继续推进这项权利。在这一方面,我们试图以更直白的英文向用户介绍这些软件的用途。 问:你们为何没有发现,Superfish会劫持证书系统? 答:我们未能采取充分的措施,以理解Superfish如何查找并提供信息。这是我们的责任,也是我们犯下的错误。 问:简单地断开Superfish的服务器并不能解决问题。 答:确实如此。今年1月,我们关闭了Superfish的服务器,以解决兼容性问题。但不幸的是,这并未解决信息安全问题,导致黑客可以劫持证书系统。我们上周四和周五采取的举措主要是删除证书,并清理这一应用留下的任何痕迹。这将解决信息安全问题。 问:你们是否清楚,Superfish的证书使用了Komodia的技术? 答:Superfish告诉我们,他们使用了Komodia的技术,但我们并未留意。去年12月,我们没有任何理由去怀疑。Superfish有着良好的声誉。但我们本应进行更多的调查,我不会为这一点辩解。 问:类似Superfish的视觉搜索公司究竟是做什么的?看起来,为了实现“视觉搜索”,他们会记录我查看的一切,以了解我正在寻找什么。 答:这里缺乏更好的词汇去描述。他们实际上是提取了你正在查看物品的“视觉签名”。因此,如果你的鼠标悬停在一张图片上,他们就会将这一签名发送回服务器。随后,他们可以匹配与你当前查看的物品类似的商品,并将其返回至网页。这就是他们软件的魔力。 问:因此,如果我的理解正确,那么Superfish将会提取我在网上看到的所有一切的元数据,随后劫持所访问网站的证书,并在其中插入我有可能点击购买的商品的图片? 答:我的理解正是这样。这里的理念在于,如果我在查看某些东西,那么Superfish能向我展示类似商品。“这里是一个花瓶。而这是一个看起来类似的花瓶,或者放在不同位置的同一个花瓶。” 问:工程开发者极力反对这样的做法。当你们知道Superfish可能导致用户遭到黑客攻击后,你们团队有什么样的反应? 答:我们对此感到非常失望。这或许是一种礼貌的说法。 问:你们随后是否与Superfish进行了沟通? 答:当这一问题被曝光后,我们确保Superfish也知晓此事。我个人并未与他们沟通,目前也不确定我们团队对他们说了什么。 问:在知道这款软件被深度集成至你们的操作系统,而没有人能回忆起用户选择权在哪之后,为何人们还要再信任联想的产品? 答:我们可以说的是,我们犯下了一个错误,并对此表示道歉。这远远不够。因此,我们的计划是在本周末之前公布初步计划,以恢复我们的信誉。 |
/1 
