电子前沿基金会(EFF)的研究人员昨天表示,他们已经发现证据,表明攻击者利用了Superfish广告软件和许多其他程序的安全漏洞。
Superfish是一家销售视觉搜索产品的公司,上周联想被发现有此问题时,该公司就公布了这一消息预装的程序在为期四个月的跨度去年年底时其消费级电脑。联想已经承认,快鱼造成客户安全威胁,并有发布了一个工具根除软件。
微软、联想的合作伙伴麦卡菲和赛门铁克也发布了反恶意软件更新,将超级鱼从个人电脑中清除。
但是,问题不仅仅是超级鱼安全专家已经发现。其他程序也依赖同样的代码库——由以色列公司Komodia开发——通过代理绕过网络加密。
由于Komodia代理的工作方式,当研究人员只关注Superfish的自签名证书使用的弱密码时,其安全影响比最初想象的要可怕得多。代理不能正确地验证证书,使得攻击者可以创建他们自己的完全伪造的证书来模仿网站使用的合法证书,包括银行在线访问的证书。
通过劫持Web会话 - 最常见的方法是使用“人在中间人”(MITM)在公共攻击,不安全的Wi-Fi网络 - 黑客可以将流量重定向到自己的假冒网站..以及受害者的浏览器就会竖起既没有警告也没有大惊小怪。
“这意味着,谁都有自己的系统上运行会接受已在[替代名称的证书字段]域名的任何证书Komodia软件,说:”安全公司CloudFlare的的菲利波Valsorda在2月20日交至他个人博客。不需要从每个软件中提取根密钥,这允许MITM[攻击]对所有使用komodia的软件在同一时间。这是灾难性的。”
EFF找到了这种攻击的证据,报道约瑟夫BONNEAU,技术研究员的组织,和Jeremy Gillula,员工技师。BONNEAU也是一个博士后研究员,斯坦福大学应用密码学组。
Ars Technica周三晚些时候报告了EFF的调查结果。
这个数字权利倡导组织挖掘了其分散的SSL天文台的数据,发现了1600个代表Komodia证书的条目。SSL天文台于2011年启动,作为未授权或受损加密证书的早期预警系统应该有被拒绝但没有。
其中一些证书是针对主要网站的,包括亚马逊、eBay、谷歌和微软Outlook.com电子邮件服务,Twitter和雅虎。Bonneau和Gillula还发现了一些银行网站的证书,其中包括汇丰银行和富国银行,以及forMint.com, Intuit的移动个人理财项目。
Bonneau和Gillula的结论非常谨慎,但他们认为在1600份证书中,至少有一部分是来自于疯狂的攻击。
“虽然这很可能是某些领域的有合法无效的证书,由于配置错误或其它常规的问题,似乎不太可能,所有的人都没有,”这对写道。“因此,它可能是Komodia软件启用这给了攻击者进入人们的电子邮件,搜索历史,社交媒体账户,电子商务账户,银行账户,甚至安装恶意软件的能力,可以永久地危及到用户的浏览器或实际MITM攻击阅读他们的加密密钥“。
博诺和吉卢拉还统计了与PrivDog有关的数千份证书。PrivDog是一个广告软件,与认证安全供应商科摩多(Comodo)有关联。比如Superfish和其他软件中使用的Komodia代理,PrivDog愉快地接受流氓证书这通常会触发浏览器警告。
“分散式SSL天文台收集了来自PrivDog用户超过17,000个不同的证书,其中任何一个的可能是从攻击。不幸的是,有没有办法知道肯定,” BONNEAU和Gillula说。
此前,安全专家曾呼吁联想和其他个人电脑制造商停止工厂安装第三方程序——从“膨胀软件”到“垃圾软件”,各种程序都有——因为存在潜在的安全和隐私漏洞。
Bonneau和Gillula更进一步,敦促电脑买家重新格式化电脑的存储空间,重新安装操作系统。他们还要求软件开发者停止拦截加密的HTTPS通信,即使是出于所谓的合法理由。
他们认为:“在浏览器之外进行证书验证,并试图从头设计任何加密软件,而不进行艰苦的安全审计,这将导致灾难。”
这篇文章,“研究人员发现了超级鱼攻击的迹象”最初发表于《计算机世界》 。