春節(jié)期間，中國人都在享受愉快的假期，本來不應(yīng)該有什么大新聞。但是中國IT的巨頭級(jí)企業(yè)聯(lián)想?yún)s遇到了麻煩。媒體稱聯(lián)想的消費(fèi)級(jí)筆記本電腦中預(yù)裝了一款“Superfish”的廣告軟件，存在嚴(yán)重安全漏洞，引發(fā)整個(gè)社會(huì)輿論的大嘩。

[[128054]]

這幾天隨著事件的持續(xù)發(fā)酵，聯(lián)想的CTO出面道并且解釋了與Superfish的合作，表示聯(lián)想也是受害者。但是消費(fèi)者不依不饒，昨天，聯(lián)想官方網(wǎng)站遭到黑客攻擊，疑似與“Superfish”事件有關(guān)。

這個(gè)“Superfish”事件到底是怎么回事?聯(lián)想應(yīng)該吸取什么教訓(xùn)呢?

一、聯(lián)想的初衷

從聯(lián)想CTO的解釋看，聯(lián)想的初衷其實(shí)很簡單。在用戶做互聯(lián)網(wǎng)搜索的時(shí)候，提供給用戶相關(guān)的內(nèi)容，提升用戶使用聯(lián)想的體驗(yàn)，增強(qiáng)產(chǎn)品的的競爭力。當(dāng)用戶搜索椅子的信息時(shí)，就通過廣告軟件給用戶提供可選擇的椅子，如果恰好有用戶喜歡的樣式，用戶可以通過廣告直接購買。

當(dāng)然，這個(gè)解釋是官方的說法。其實(shí)聯(lián)想的這個(gè)舉動(dòng)和現(xiàn)在小米的MIUI很類似，硬件附帶軟件服務(wù)，獲得收益。這個(gè)不是個(gè)例，三星前一段甚至在智能電視上都安裝了廣告插件。

聯(lián)想無非是要做一個(gè)軟硬件服務(wù)的結(jié)合。你買了聯(lián)想的硬件，聯(lián)想只能賺一次錢。而聯(lián)想與“Superfish”合作，除了所謂的用戶體驗(yàn)提升以外，還有廣告分成的好處，后續(xù)收入源源不斷。

這個(gè)和買了小米手機(jī)，你還會(huì)買小米的主題，買了OPPO手機(jī)，就玩OPPO手機(jī)里面的游戲是一個(gè)道理。通過軟件和服務(wù)，硬件廠商可以持續(xù)賺錢。

硬件是一個(gè)入口，聯(lián)想以前沒有把這個(gè)入口利用好賺錢，現(xiàn)在開始利用了。只是聯(lián)想現(xiàn)在先從廣告開始，選了一個(gè)不太靠譜的Superfish，造成了今天的麻煩。

二、Superfish做錯(cuò)了什么?

Superfish成立于2006年，在經(jīng)過了四年的研發(fā)后才發(fā)布了自己的首款產(chǎn)品。去年，該公司剛剛開始進(jìn)軍全新的應(yīng)用開發(fā)領(lǐng)域。

Superfish在廣告應(yīng)用中所使用的技術(shù)是非常先進(jìn)的，它內(nèi)置的算法可以幫助用戶找到和發(fā)現(xiàn)產(chǎn)品，并且可以在搜索引擎中對(duì)購物進(jìn)行圖片分析、搜索以找到更低的價(jià)格。其實(shí)算是廣告軟件中比較優(yōu)秀的。

Superfish依賴于搜索引擎，而谷歌去年默認(rèn)開啟了SSL連接協(xié)議，Superfish無法繼續(xù)在谷歌搜索結(jié)果中顯示自己的廣告內(nèi)容。于是它開始耍流氓，以中間人的方式劫持SSL鏈接。

Superfish采用了komodia公司的SDK，將一個(gè)自簽名數(shù)字證書植入到用戶計(jì)算機(jī)。這不僅僅可以顯示廣告內(nèi)容，還可以在用戶不知情的情況下截獲所有基于TLS的加密通訊內(nèi)容，或許是IMAPS協(xié)議收取郵箱時(shí)的密碼，或許是一次HTTPS銀行登錄表單。這是非常非常危險(xiǎn)的，用戶的隱私和密碼都可能泄露。而更糟的是證書私鑰選擇了統(tǒng)一的密碼(公司名：komodia)，這個(gè)極其簡單的密碼現(xiàn)在被破解并且到處流傳。

這意味著，不僅僅是Superfish公司可以窺探用戶的隱私，而是任何人都可以在同一網(wǎng)絡(luò)獲得用戶隱私信息。這個(gè)簡直就是要逆天。

本來是為了顯示廣告，采用的手段卻是耍流氓，而結(jié)果是恐怖的隱私和密碼泄露。而聯(lián)想偏偏在自己的筆記本電腦里面預(yù)裝了它……，消費(fèi)者的憤怒就不難理解了。雖然聯(lián)想本身就是最大的受害者(廣告分成恐怕還沒拿到手，信任危機(jī)就來了)，但是責(zé)任還是要承擔(dān)的，CTO出來道歉也就在所難免了。

三、Superfish事件的教訓(xùn)是什么?

從小米之后，軟硬件一體體系化，賺取綜合利潤就是業(yè)界的共識(shí)，無論是硬件還是軟件，都拼命給用戶增加各種各樣的服務(wù)，試圖獲取后續(xù)的利潤。

但是在這個(gè)過程中，消費(fèi)者的隱私和選擇權(quán)被漠視了。用戶花錢買到了一款硬件產(chǎn)品，附帶了一大堆軟件和服務(wù)，而消費(fèi)者并不知道這些軟件和服務(wù)是否安全。

硬件廠商即使想做體系，也有責(zé)任幫助用戶把關(guān)，尊重用戶的選擇權(quán)，尊重用戶的隱私，保護(hù)用戶是數(shù)據(jù)安全。選擇靠譜的軟件和服務(wù)。

而在隱私權(quán)淡漠的中國，廠商往往的利益優(yōu)先，不去做這些工作的。我們看看自己的智能手機(jī)，里面預(yù)裝了多少東西，這些APP涉及哪些權(quán)限?

什么通話記錄、短信內(nèi)容、通訊錄，錄音、拍照、位置、攝像頭，連個(gè)手電筒軟件都要用戶這些隱私，你是想干什么?

這種思路到了注重隱私權(quán)的國外，自然要摔跟頭。聯(lián)想在與Superfish合作前，沒把對(duì)方的底摸清，沒把對(duì)方的技術(shù)徹底弄明白，把風(fēng)險(xiǎn)評(píng)估清楚，就貿(mào)然預(yù)裝，挨了板子也就不冤枉了。本來聯(lián)想、華為這些中國企業(yè)在海外就被歧視，這次事件只會(huì)讓聯(lián)想更困難，真是因小失大。芝麻沒撿到，西瓜卻反而丟了.......

硅谷究竟有多遠(yuǎn)?點(diǎn)擊此處了解詳情，和我們一起上硅谷!