醜聞聯想/快魚持續增長。該協會的兩位安全研究人員電子前沿基金會(EFF) 確信駭客正在利用該垃圾郵件的安全漏洞來欺騙網站並發動「中間人」攻擊。預設安裝在某些聯想電腦上,Superfish 確實包含該公司創建的本機代理科莫迪亞,允許動態解密 SSL/TLS 連線。問題在於該工具削弱了憑證驗證過程:瀏覽器無法驗證網站的完整性。
使用 EFF 的 HTTPS Everywhere Observatory(從世界各地收集安全憑證),研究人員統計了 1,600 個 SSL 連線被接受的案例,即使憑證無效。受影響的網域包括 Google、Yahoo、Bing、Windows Live Mail、Amazon、Twitter、Netflix、Mozilla 等知名網域…「由於內部原因(例如技術配置錯誤),其中一些網域可能具有無效憑證。但所有這些領域不太可能都會受到影響。因此,真正的 MitM 類型的攻擊有可能是透過 Komodia 發生的”,他們解釋道。
為了提高認識,研究人員也掃描了透過私人狗,一款同樣依賴本地 SSL 代理並具有接受所有 SSL 憑證的絕妙想法的安全軟體。結果:他們找到了 17,000 張不同的證書,包括“每一個都可能與一次攻擊有關,但我們不可能知道”。
證書驗證,一個微妙的過程
面對這場災難,他們的結論很激進:出版商不應再在其軟體中使用 SSL 代理,因為這會帶來潛在風險。「SSL 憑證驗證是一個非常複雜且微妙的過程,瀏覽器開發人員花了數十年的時間精心設計以完善。在瀏覽器之外進行這種驗證並嘗試從頭開始創建加密軟體而不進行仔細的安全審核肯定會遇到麻煩。,他們強調。
由於大多數安全供應商都使用這種 SSL 攔截技術,這一點尤其正確。在一個部落格文章Comodo的執行長Melih Abduhayoglu立即列出了大約十個:卡巴斯基、BitDefender、Eset、AVG、Avast、趨勢科技、賽門鐵克…總而言之,所有最重要的安全套件發行商…為什麼要這樣譴責他的小夥伴呢?因為Comodo是聯想事件的附帶受害者。與 Superfish 一樣,該發行商也使用了 Komodia 技術,因此被單獨選中。因此,阿卜杜哈尤格魯先生試圖重新確立「真相」。據他說,沒有其他選擇。「如何在不解密的情況下驗證[加密]內容中沒有惡意內容?當然不能。在這種情況下,如果犯罪分子與您的電腦建立加密連接,他們就可以向您發送任意數量的惡意軟體。由於你無法破譯這條信息流,所以你不會知道任何事情。,經理解釋道,有點惱火。
因此我們看到這個問題很棘手...
另請閱讀:
如何刪除Superfish憑證?,於 20/02/2015
