|
|
聯想被預先安裝在筆記本電腦上廣告軟件Superfish劫持TLS / SSL加密.灰鴿子下載
1.jpg (9.03 KB, 下載次數: 725)
下載附件
2015-2-20 18:40 上傳
計算機巨頭聯想受到用戶和安全專家在其消費者筆記本電腦被發現含有預裝廣告軟件/惡意軟件可以用來攔截和劫持在Microsoft Windows加密傳輸層安全通信。遠程控制軟件���。
“Superfish”廣告軟件是一個第三方應用程序,直到上個月,安裝在所有聯想消費筆記本電腦。它旨在注入廣告網絡會話,瀏覽信息發送到廣告公司,并監視用戶活動�。
Superfish不是聯想的商務筆記本電腦上安裝���。
廣告軟件,開發的公司相同的名字,也用自己的假,CA證書簽名在SSL / TLS劫持用戶會話,安全專家在武器的事實���。
來源:知道白色,Twitter
上面的照片,發到網上,OpenCryptoAudit研究員科恩在Twitter上白色,顯示美國銀行(Bank of America)的區別網站URL和假Superfish出具的證明書���。
這樣的X���。509數字證書使用的網站,確保通信與正確的權威���。
在這種情況下Superfish篡奪了這一角色,這意味著它實際上是執行一個中間人攔截攻擊捕捉內容,否則保護SSL和TLS���。
數字版權游說組織電子前沿基金會稱聯想的Superfish伙伴關系,完全是一副“災難性的不負責任濫用信任”,作為這個證書可以用來攔截用戶數據���。
一份Superfish私有證書密鑰存儲在所有adware-preloaded聯想筆記本電腦,并提取了勘誤表安全研究員羅伯·格雷厄姆�����。
攻擊者的私鑰TLS加密和身份驗證會話的完全訪問權,留下大量的聯想全球用戶攔截�����。
安全專家的反應
聯想隨后敦促影響筆記本電腦的用戶刪除的軟件,盡管許多評論家認為這不會解決這個問題,證書仍將在系統上。
更糟的是,在同一網絡上,聯想筆記本電腦顯然可以用來攻擊對方。
上個月,聯想管理員證實軟件已被“暫時刪除”消費設備,直到軟件修復提供——盡管目前尚不清楚有多少設備附帶的廣告軟件。
“我們從消費者已暫時移除Superfish系統在Superfish之前能夠提供一個軟件構建,解決了這些問題,”馬克·霍普金斯寫道�����。
“至于單位已經在市場,我們已經要求Superfish自動升級修復,解決這些問題�����。”
安全研究人員馬克·羅杰斯說聯想的決定中預裝Superfish是“難以置信的無知和魯莽”�����。
“這很可能是一個糟糕的事情我看到制造商對其客戶基礎�。在這一點上我認為每一個這些影響筆記本電腦可能妥協,從頭開始重新安裝它們,”他在他的博客上寫道。
歐洲刑警組織顧問艾倫•伍德沃德和薩里大學的客座教授的計算部門說這是令人難以置信的聯想來安裝這個廣告軟件在用戶的機器上�����。
“這是一個開放的軟件,SuperFish,在瀏覽器和它攔截自己的假證書加密的通訊問題,”他說�。
“我們只能認為他們的目的是幫助用戶不了解技術細節。證據,去地獄的路是鋪著善意…和營銷安全����!
丹尼爾·卡斯伯特Sensepost安全研究員賽廣告軟件的使用一個假的證書就意味著所有的網絡加密的妥協���。
“簡而言之,他們能夠妥協SSL���。這意味著Superfish能夠中間人SSL連接,訪問數據和注入內容流�����。
“我們不只是談論網站在這里,但是利用SSL。有些人稱之為廣告軟件,但這顯然是惡意軟件���。至于剝削,[它]為時過早,我害怕,但Superfish已經做開發用戶筆記本電腦,”他說。灰鴿子使用教程
“至于保護,從來沒有默認的安裝運行���。刪除它從源代碼和安裝新的�����!
研究員菲利普Valsorda Superfish已經成立了一個證書頒發機構測試網站,允許用戶與廣告軟件發現如果他們的系統被破壞�。
聯想預裝Superfish停止
聯想已經發表聲明,重申Superfish是完全禁用,不再自今年1月以來預裝到聯想的機器�����。
“與Superfish不是財務的關系重大,我們的目標是增強用戶的體驗�。我們認識到,軟件不符合這一目標和行動迅速�����、果斷的行動�。”
它建議Superfish可能出現在某些型號的G系列,U系列,系列Y,Z系列�、S系列,Flex系列,MIIX系列�����、瑜伽系列、E系列筆記本電腦���。 |
|
加載中...
發表于 2015-2-20 18:41:03
QQ好友和群
收藏
發表于 2015-2-20 18:41:05