|
联想被预先安装在笔记本电脑上广告软件Superfish劫持TLS / SSL加密.灰鸽子下载
计算机巨头联想受到用户和安全专家在其消费者笔记本电脑被发现含有预装广告软件/恶意软件可以用来拦截和劫持在Microsoft Windows加密传输层安全通信。远程控制软件。
“Superfish”广告软件是一个第三方应用程序,直到上个月,安装在所有联想消费笔记本电脑。它旨在注入广告网络会话,浏览信息发送到广告公司,并监视用户活动。
Superfish不是联想的商务笔记本电脑上安装。
广告软件,开发的公司相同的名字,也用自己的假,CA证书签名在SSL / TLS劫持用户会话,安全专家在武器的事实。
来源:知道白色,Twitter
上面的照片,发到网上,OpenCryptoAudit研究员科恩在Twitter上白色,显示美国银行(Bank of America)的区别网站URL和假Superfish出具的证明书。
这样的X。509数字证书使用的网站,确保通信与正确的权威。
在这种情况下Superfish篡夺了这一角色,这意味着它实际上是执行一个中间人拦截攻击捕捉内容,否则保护SSL和TLS。
数字版权游说组织电子前沿基金会称联想的Superfish伙伴关系,完全是一副“灾难性的不负责任滥用信任”,作为这个证书可以用来拦截用户数据。
一份Superfish私有证书密钥存储在所有adware-preloaded联想笔记本电脑,并提取了勘误表安全研究员罗伯·格雷厄姆。
攻击者的私钥TLS加密和身份验证会话的完全访问权,留下大量的联想全球用户拦截。
安全专家的反应
联想随后敦促影响笔记本电脑的用户删除的软件,尽管许多评论家认为这不会解决这个问题,证书仍将在系统上。
更糟的是,在同一网络上,联想笔记本电脑显然可以用来攻击对方。
上个月,联想管理员证实软件已被“暂时删除”消费设备,直到软件修复提供——尽管目前尚不清楚有多少设备附带的广告软件。
“我们从消费者已暂时移除Superfish系统在Superfish之前能够提供一个软件构建,解决了这些问题,”马克·霍普金斯写道。
“至于单位已经在市场,我们已经要求Superfish自动升级修复,解决这些问题。”
安全研究人员马克·罗杰斯说联想的决定中预装Superfish是“难以置信的无知和鲁莽”。
“这很可能是一个糟糕的事情我看到制造商对其客户基础。在这一点上我认为每一个这些影响笔记本电脑可能妥协,从头开始重新安装它们,”他在他的博客上写道。
欧洲刑警组织顾问艾伦•伍德沃德和萨里大学的客座教授的计算部门说这是令人难以置信的联想来安装这个广告软件在用户的机器上。
“这是一个开放的软件,SuperFish,在浏览器和它拦截自己的假证书加密的通讯问题,”他说。
“我们只能认为他们的目的是帮助用户不了解技术细节。证据,去地狱的路是铺着善意…和营销安全。”
丹尼尔·卡斯伯特Sensepost安全研究员赛广告软件的使用一个假的证书就意味着所有的网络加密的妥协。
“简而言之,他们能够妥协SSL。这意味着Superfish能够中间人SSL连接,访问数据和注入内容流。
“我们不只是谈论网站在这里,但是利用SSL。有些人称之为广告软件,但这显然是恶意软件。至于剥削,[它]为时过早,我害怕,但Superfish已经做开发用户笔记本电脑,”他说。灰鸽子使用教程
“至于保护,从来没有默认的安装运行。删除它从源代码和安装新的。”
研究员菲利普Valsorda Superfish已经成立了一个证书颁发机构测试网站,允许用户与广告软件发现如果他们的系统被破坏。
联想预装Superfish停止
联想已经发表声明,重申Superfish是完全禁用,不再自今年1月以来预装到联想的机器。
“与Superfish不是财务的关系重大,我们的目标是增强用户的体验。我们认识到,软件不符合这一目标和行动迅速、果断的行动。”
它建议Superfish可能出现在某些型号的G系列,U系列,系列Y,Z系列、S系列,Flex系列,MIIX系列、瑜伽系列、E系列笔记本电脑。 |
|