Win7之家( www.win7china.com):Win7关注:联想Superfish的安全风险问题严重
上个月在联想海外用户中引发的Superfish安全问题给联想造成了很严重的负面影响,这款预装软件会给在2014年9月至2015年2月出售的联想电脑带来“中间人(MiTM)”攻击隐患。这是由于Superfish中包含一个带有安全漏洞的自签名根证书,该漏洞是安全隐患的根源,安全风险问题非常严重。
微软和联想正在联手通过他们的MAPP和VIA合作程序控制目前局面。Superfish使用一个名为Komodia的框架来安装一项网络驱动,作为“中间人”来解密和修改网络数据使得其包含额外的广告。
通常情况下,HTTPS浏览器回话会被保护,以防范“中间人”攻击。然而Superfish能够通过以下两种方式拦截并修改浏览器安全回话:
1、在本地安装一个不受限制的自签名根证书。
2、在Superfish嵌入一个私有的键来让HTTPS内容重新签名,这一过程是在修改浏览器回话并且添加根证书之后进行的。
从用户视角来看,HTTPS安全连接是有效的。然而修改过的Web内容已经被Superfish签名,取代了合法认证内容。
通过Komodia,Superfish为每台电脑安装了相同的公用根证书,并且在传输过程中嵌入了一个私有键来重新签名内容。这也意味着相应的私有键被用来给所有受影响用户的公知内容签名。这涉及到几项重要的安全启示,并且被归类于CVE-2015-2077漏洞之下。
这一事件可以扩展到Superfish以外所有涉及到Komodia框架的拦截SSL/TLS通讯的行为。不仅如此,使用相同SSL/TLS拦截方式的应用也已经被发现易受此类攻击,并且存在类似的信任相关漏洞。(Source:TechNet)