设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

安全专家解读Superfish事件:始作俑者为Komodia

2015-2-27 18:27| 发布者: 随便、先森。| 查看: 1225| 评论: 0|来自: 360安全播报

摘要: 最近一段时间,春节期间爆发的“Superfish”事件持续发酵,这款电脑预装软件究竟具有怎样的安全风险,是什么原因让Superfish具有如此广泛的影响?记者就此采访了360互联网安全中心的安全专家,该专家称,导致Superfi ...

最近一段时间,春节期间爆发的“Superfish”事件持续发酵,这款电脑预装软件究竟具有怎样的安全风险,是什么原因让Superfish具有如此广泛的影响?记者就此采访了360互联网安全中心的安全专家,该专家称,导致Superfish引发安全风险的始作俑者是一个由Komodia公司提供的SDK(Software Development Kit,软件开发工具包),除了Superfish,或有更多软件同样中招。

Superfish不是唯一中招者 更多软件存在风险

电脑中预装的Superfish软件,会导致多数浏览器信任低校验水平的SSL证书。该软件可以生成自签名SSL数字证书,在用户不知情的情况下,截获基于SSL的加密通讯内容,甚至允许第三方拦截SSL连接。这意味着用户电脑和网站服务器之间的加密信息可被解密、篡改,而恶意黑客可以利用该漏洞向客户端电脑发起钓鱼网站攻击。安装了Superfish的电脑用户,将有可能面临隐私泄漏、被钓鱼等严重威胁。

据国外媒体报道,国外相关研究人员最近又在十几款其他应用程序中发现了相同的安全问题,儿童上网监控软件Qustodio、Kurupira、Infoweise,以及Komodia自己的KeepMyFamilySecure软件,还有电脑安全防护软件Lavasoft和Websecure都在其中。

据360安全专家介绍,问题的根源在于这些软件都使用了一个由以色列公司Komodia提供的SDK,凡使用了这个SDK的软件均存在与Superfish类似的安全风险。

漏洞已被利用来发起中间人攻击

国外研究人员表示,这个由Komodia提供的SDK存在安全漏洞,目前攻击者已经利用Superfish等软件使用的这个SDK中的漏洞,对一些访问最为敏感的且受HTTPS保护的网站终端用户发动了真实的中间人攻击。这些站点包括Gmail、Amazon、eBay、Twitter以及Gpg4Win.org等,或已导致攻击者获得访问用户邮件、搜索历史纪录、社交媒体账户、网购账户和银行账户的权限,甚至获得安装恶意软件的能力,这可能会长久攻陷用户浏览器或读取他们的加密密钥。

360安全专家对这款SDK存在的安全风险进行了分析:

1、使用该SDK的每个产品在每台机器上内置的根证书是相同的,而且证书密码都是“komodia”,这会导致SSL的中间人攻击。

2、该SDK在校验HTTPS 网站服务器发来的证书时不严谨,使得Chrome/IE不会对非法的网站证书发出警告,这将使用户面临严重的被钓鱼风险。

3、该SDK使用了过时的较弱的加密算法。

这一事件带来的教训无疑是深刻的。它提醒电脑OEM制造商需要更严格地对其预装软件的安全性进行把关,也提醒SDK开发商和软件开发商本着对用户负责的态度,更加关注软件设计的安全性。360安全专家介绍,目前360安全卫士可以帮助用户对Superfish软件及其证书进行彻底清理,360也将继续跟进事件发展,以期为用户电脑带来更好的安全防护。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部