丑闻联想/Superfish持续增长。该协会的两名安全研究人员电子前沿基金会(EFF) 确信黑客正在利用该垃圾邮件的安全漏洞来欺骗网站并发起“中间人”攻击。默认情况下安装在某些联想计算机上,Superfish 确实包含该公司创建的本地代理科莫迪亚,允许动态解密 SSL/TLS 连接。问题在于该工具削弱了证书验证过程:浏览器无法验证网站的完整性。
使用 EFF 的 HTTPS Everywhere Observatory(从世界各地收集安全证书),研究人员统计了 1,600 个 SSL 连接被接受的案例,尽管证书无效。受影响的域名包括 Google、Yahoo、Bing、Windows Live Mail、Amazon、Twitter、Netflix、Mozilla 等知名域名……“由于内部原因(例如技术配置错误),其中一些域名可能具有无效证书。但所有这些领域不太可能都会受到影响。因此,真正的 MitM 类型的攻击有可能是通过 Komodia 发生的”,他们解释道。
为了提高认识,研究人员还扫描了通过私人狗,一款同样依赖于本地 SSL 代理并具有接受所有 SSL 证书的绝妙想法的安全软件。结果:他们找到了 17,000 个不同的证书,包括“每一个都可能与一次攻击有关,但我们不可能知道”。
证书验证,一个微妙的过程
面对这场灾难,他们的结论很激进:出版商不应再在其软件中使用 SSL 代理,因为这会带来潜在风险。“SSL 证书验证是一个非常复杂且微妙的过程,浏览器开发人员花费了数十年的时间精心设计以完善。在浏览器之外进行这种验证并尝试从头开始创建加密软件而不进行仔细的安全审核肯定会遇到麻烦。”,他们强调。
由于大多数安全供应商都使用这种 SSL 拦截技术,这一点尤其正确。在一个博客文章Comodo的首席执行官Melih Abduhayoglu立即列出了大约十个:卡巴斯基、BitDefender、Eset、AVG、Avast、趋势科技、赛门铁克……总而言之,所有最重要的安全套件发行商……为什么要这样谴责他的小伙伴呢?因为Comodo是联想事件的附带受害者。与 Superfish 一样,该发行商也使用了 Komodia 技术,因此被单独选中。因此,阿卜杜哈尤格鲁先生试图重新确立“真相”。据他说,没有其他选择。“如何在不解密的情况下验证[加密]内容中没有恶意内容?当然不能。在这种情况下,如果犯罪分子与您的计算机建立加密连接,他们就可以向您发送任意数量的恶意软件。由于你无法破译这条信息流,所以你不会知道任何事情。”,经理解释道,有点恼火。
因此我们看到这个问题很棘手......
另请阅读:
如何删除Superfish证书?,于 20/02/2015
