联想(Lenovo)生产的一些Windows笔记本电脑预装了一个广告软件程序,会给用户带来安全风险。
这款名为“超级鱼视觉发现”(Superfish Visual Discovery)的软件旨在将产品广告插入其他网站的搜索结果中,包括谷歌。
但是,由于谷歌和一些其他搜索引擎使用HTTPS(HTTP安全),因此它们和用户浏览器之间的连接被加密,无法被操纵以注入内容。
为了克服这个问题,Superfish将一个自生成的根证书安装到Windows证书存储中,然后充当一个代理,用它自己的证书重新签名HTTPS站点提供的所有证书。因为Superfish的根证书放置在操作系统的证书存储中,所以浏览器会信任Superfish为这些网站生成的所有假证书。
这是一种拦截HTTPS通信的典型中间人技术,当员工访问启用了HTTPS的网站时,这种技术也被用于一些公司网络,以执行数据泄漏预防策略。
但是,超级鱼方法的问题是它使用相同的根证书使用相同的RSA密钥谷歌Chrome安全工程师克里斯·帕尔默(Chris Palmer)调查了该问题。此外,RSA密钥只有1024位长,由于计算能力的进步,这在今天被认为是不安全的加密。
几年前开始使用1024位键的SSL证书逐步淘汰。这一进程最近有所加快.2011年1月,美国国家标准与技术研究所(U.S. National Institute of Standards and Technology)表示,数字签名基于1024位RSA密钥2013年后应该被禁止吗.
无论与Superfish根证书相对应的私有RSA密钥是否可以被破解,都有可能从软件本身恢复,尽管这还没有得到证实。
如果攻击者获得了根证书的RSA私钥,他们就可以对任何安装了该应用程序的用户发起中间人流量拦截攻击。这将允许他们通过提供一个由Superfish根证书签名的证书来模拟任何网站,该证书现在已被安装该软件的系统所信任。
中间人攻击可以在不安全的无线网络上发起,或者通过破坏路由器,这种情况并不少见。
“关于#superfish的最悲伤的部分是它的100多行代码,为每个系统产生独特的假CA签名证书,”对于微软工作的安全专家Marsh Ray说,在推特上.
用户在Twitter上指出的另一个问题是,即使卸载了Superfish,它创建的根证书留下.这意味着受影响的用户必须手动删除它,以便被完全受到保护。
目前还不清楚为什么Superfish使用该证书对所有HTTPS网站执行中间人攻击,而不仅仅是搜索引擎。安全专家肯·怀特在推特上发布的截图显示Superfish为www.bankofamerica.com生成的证书.
超级鱼没有立即回复评论请求。
Mozilla正在考虑方法阻止Superfish证书在Firefox中,即使Firefox不信任安装在Windows中的证书,使用它自己的证书存储,不像谷歌Chrome和Internet Explorer。
联想的一名代表在一份电子邮件声明中表示:“2015年1月,联想将‘超级鱼’从新消费者系统的预装中移除。”“与此同时,超级鱼让市场上现有的联想机器无法激活超级鱼。”
这位代表说,这款软件只预装在特定数量的个人电脑上,但没有透露机型的名称。她说,该公司正在“彻底调查所有和任何有关‘超级鱼’的新担忧”。
这种情况似乎已经持续了一段时间。有联想社区论坛上关于Superfish的报道回到2014年9月。
“Preinstalled software is always a concern because there’s often no easy way for a buyer to know what that software is doing—or if removing it will cause system problems further down the line,” said Chris Boyd, a malware intelligence analyst at Malwarebytes, via email.
Boyd建议用户卸载Superfish,然后输入certmgr。在Windows搜索栏中,打开程序,并从那里删除Superfish根证书。
Tripwire的高级安全分析师肯·威斯汀(Ken Westin)表示:“随着消费者对安全和隐私的意识日益增强,笔记本电脑和手机制造商寻求过时的基于广告的盈利策略,很可能是在给自己找麻烦。”“如果这些发现是真的,而且联想正在安装他们自己签名的证书,那么他们不仅背叛了客户的信任,还将客户置于更大的风险之中。”