这有点像洒水器被浇水的故事。继联想丑闻– 该公司的绝妙想法是将危险的广告软件 Superfish 集成到其部分 PC 中 – 安全研究人员开始寻找 Komodia 公司的不良根证书,该公司向所有第三方编辑器提供 SSL 拦截技术。除了一系列垃圾软件之外,他们还发现了由知名发行商创建的两款产品,这些发行商以提供……安全解决方案而自豪。它们是 Lavasoft 和 Adtrustmedia。
第一个提供了一个名为“Lavasoft Ad-Aware Web Companion”的模块,该模块使用 Komodia 的 SSL 拦截技术来扫描加密的网页,并在必要时阻止恶意内容。但由于对 Komodia 的依赖,发行商将其安全工具变成了一个巨大的安全漏洞。正如研究人员所表明的菲利波·瓦尔多达凭借 CloudFlare 的功能,Komodia 通过巧妙的手段允许绕过 SSL/TLS 证书的验证阶段。从此,不再能够真正验证一个网站的身份是否完整。我们受到“中间人”类型攻击的支配。
迎风开放
Adtrustmedia 的情况与此类似,甚至更糟。该发行商源自 Comodo 集团,提供 PrivDog,这是一种旨在保护用户免受网页中存在的恶意软件侵害的解决方案。为此,它还集成了SSL拦截技术。它不是来自 Komodia,但也同样糟糕,因为它完全消除了任何 SSL 认证验证。不再需要花招来愚弄浏览器:所有证书都被 PrivDog 的证书替换,并自动被浏览器接受。这为“中间人”攻击创造了途径。 PrivDog 安全软件以某种方式破坏了与 SSL/TLS 协议相关的整个安全机制。这就是为什么 US-CERT 决定警报以适当的形式。对于一个安全出版商来说,这有点可惜。
从那时起,这两家出版商就承认了自己的过失。 Lavasoft 的反应尤其迅速,并于 2 月 18 日推动了其软件的更新。 2月21日,他发表声明Facebook,解释这一切是不幸的,Komodia 技术已从产品中删除。甚至(小)对 Adtrustmedia 表示哀叹,证实了所发现的漏洞“在第三方库中”并声称已更新其产品,同时试图将问题最小化(“全球只有 57,568 名用户受到影响……”)。
这个故事的寓意是,您不应该信任集成 SSL/TLS 代理的软件,即使它是出于安全目的。菲利波·瓦尔多达还敦促这些出版商改变策略。“不要再做任何拦截代理。它们不可能被正确设计,而且从本质上讲,它们降低了整个互联网的安全级别。”,他在博客中写道。让我们希望它会被听到。
另请阅读:
Komodia,联想丑闻背后的垃圾邮件章鱼,于 21/02/2015
