尚未抓到Superfish:对SSL劫持的解释

联想的Superfish恶意软件在过去一周引起了轩然大波。笔记本电脑制造商不仅运送装有广告软件的计算机,而且使这些计算机极易受到攻击。您现在可以摆脱Superfish,但故事还没有结束。

赶上Superfish

联想发布了一个摆脱了Superfish的工具,并且Microsoft更新了其防病毒软件以赶上并消除麻烦。其他防病毒软件提供商肯定会很快跟进。如果您拥有Lenovo笔记本电脑,但尚未采取措施摆脱Superfish,则应立即这样做!

如果不摆脱它,您将更容易受到感染。中间人攻击实际上使您看起来像在与安全网站进行通信,而实际上却是在与攻击者进行通信。 Superfish这样做是为了获得有关用户的更多信息并将广告注入页面,但是攻击者可以利用此漏洞。

SSL劫持如何工作?

Superfish使用SSL劫持以获取用户的加密数据的过程。该过程实际上非常简单。当您连接到安全站点时,您的计算机和服务器将经过许多步骤:

  • 您的计算机连接到HTTP(不安全)站点。
  • HTTP服务器将您重定向
  • 您的计算机连接到HTTPS站点。
  • HTTPS服务器提供证书,以提供对该站点的肯定标识。
  • li>
  • 连接已完成。
  • 在中间人攻击期间,第2步和第3步受到损害。攻击者的计算机充当您的计算机和安全服务器之间的桥梁,拦截两者之间传递的任何信息,包括密码,信用卡详细信息或任何其他敏感数据。可以在这篇关于中间人攻击的出色文章中找到更完整的解释。

    鱼背后的鲨鱼:科莫迪亚

    Superfish是Lenovo软件的一部分,但它建立在一个由Komodia公司创建的框架上。 Komodia提供了许多不同的工具,其中大多数工具的目的是拦截SSL加密的互联网流量,对其进行快速解密并允许用户执行各种操作,例如过滤数据或监视加密的浏览。

    Komodia指出,他们的软件可用于父母控制,过滤来自加密电子邮件的潜在泄露信息以及将广告注入到浏览器中,从而限制了所添加扩展的种类。显然,此软件存在良好的使用前景,但存在潜在的弊端,但是它在解密SSL流量而不给您任何不再安全浏览的线索的事实令人非常担忧。

    长话短说,Superfish使用了单密码安全证书,这意味着拥有该证书密码的任何人都可以访问Superfish监视的任何流量。那么超级鱼被发现后发生了什么?有人破解了密码并将其发布,使大量的联想笔记本电脑用户容易受到攻击。

    安全研究人员在博客文章中报告说,密码为“ komodia"。严重。

    但是Superfish并不是唯一使用Komodia框架的软件。一位Facebook安全研究人员最近发现,还有十几种其他软件使用了Komodia技术,这意味着大量的SSL连接可能会受到威胁。 Ars Technica报告说,包括财富500强公司在内的100多个客户也在使用Komodia。还有许多其他证书也使用密码“ komodia"解锁。

    其他SSL劫持者

    虽然Komodia在SSL劫持市场中是大鱼,但还有其他人。人们发现,Comodo服务PrivDog用受信任的广告替换了来自网站的广告,该漏洞也存在一个漏洞,该漏洞也可能导致中间人攻击。研究人员说,PrivDog漏洞甚至比Superfish还要严重。

    这也不是那么罕见。许多免费软件与其他广告软件和其他您实际上不想要的东西捆绑在一起(How-To Geek对此进行了出色的实验),其中许多使用SSL劫持来检查您要发送的数据加密的连接。幸运的是,其中至少有一些人对自己的安全证书做法更为了解,这意味着并非每个SSL劫持者都会导致像Superfish或PrivDog所创建的一样大的安全漏洞。

    有时候,有充分的理由给出应用程序访问您的加密连接。例如,如果您的防病毒软件无法解密与HTTPS站点的通信,则将无法防止恶意软件通过安全连接感染计算机。家长控制软件也需要访问安全连接,否则孩子可以只使用HTTPS绕过内容过滤。

    但是,当广告软件监视您的加密连接并使其受到攻击时,您应该担心。<

    该怎么办?

    不幸的是,许多中间人攻击需要通过服务器端措施加以阻止,这意味着您可能会遭受这些攻击而没有知道了。但是,您可以采取多种措施来确保自己的安全。 Filippo Valsorda创建了一个网络应用程序,用于在您的计算机上查找Superfish,Komodia,PrivDog和其他禁用SSL的软件。

    您还应该注意证书警告,仔细检查HTTPS连接,使用公共Wi-Fi时要小心,并运行最新的防病毒软件。检查您的浏览器中安装了哪些浏览器扩展程序,然后删除您不认识的扩展程序。下载免费软件时要小心,因为它捆绑了许多广告软件。

    除此之外,我们能做的最好的事情就是将愤怒情绪传达给生产和使用该技术的公司,像科莫迪亚。据称,他们的网站最近因分布式拒绝服务攻击而被关闭,这表明许多人很快就表达了不满。现在该明确表明SSL劫持是完全不能接受的。

    您如何看待SSL劫持广告软件?您认为我们应该呼吁公司停止这种做法吗?还要合法吗?在下面分享您的想法!

    图片来源:Shark cartoon通过Shutterstock,HTTPS安全连接通过Shutterstock登录。

    标签: 在线隐私权 在线安全性