趨勢科技全球安全研究副總裁Rik Ferguson
更新:可以讓第三方(即攻擊者)進行中間人攻擊的私密金鑰和相關密碼已經被成功取出。這意味著和受攻擊電腦位在相同網路的攻擊者將能夠攔截任何SSL加密流量。
更新二:趨勢科技將相關檔案偵測為ADW_LOADSHOP及ADW_SUPERFISH。受害電腦一但出現偵測,仍需照文章結尾所列出的手動步驟來移除憑證。
更新三:聯想現在已經發佈自己的「Superfish漏洞」公告,內容包含受影響的機型和移除應用程式及相關憑證的說明。
更新四:聯想已經推出支援工具來移除應用程式和憑證
______________________________________________________________
一旦壞傢伙進入生產線就真的是件壞消息。趨勢科技已經看過帶有預先安裝惡意軟體的電子香菸充電器、數位相框及許多其他的故事。但如果製造商自己也開始做起跟壞傢伙一樣事情的時候呢,無論是出於惡意或無知?
使用者回報在網路上湧現,聯想所販賣的某些款筆記型電腦在出廠時預裝了名稱頗諷刺的「Superfish Visual Discovery」。該軟體具備的能力遠遠超過你預期廠商可能會安裝的一般「廣告軟體」。
這個間諜軟體(我們很快就會講到為何用這個詞)已經隨著聯想筆記型電腦一起出貨好一段時間了。事實上,聯想的一名社群媒體專案經理在一月時就確認了聯想即將因為「一些問題」而暫時停止出貨此間諜軟體。當然,這並不會阻止生產線上預裝好的潛在受害電腦出貨。
Superfish做了什麼令人如此擔憂?
除了一般廣告軟體常有的伎倆之外,Superfish還會安裝它自我簽章的根憑證授權單位。用一般人的語言,這就是說Superfish可以產生任何它想要的憑證,而你的瀏覽器將會完全地相信它是合法的,讓它可以假冒網路上的任何地方。這些網站通常會為了你的安全而具備強大的加密保護,通常只有通訊的另一方 – 你的銀行、Facebook、電子郵件帳號或網路商店等可以解密這私密的內容。
通過產生自我簽章的憑證,Superfish可以進行中間人攻擊,偽裝成任何這些加密的安全網站,截取私密的通訊。而且完全不會讓你的電腦或瀏覽器出現任何警示聲或視覺化警訊,它已經是「受信任」的根憑證授權單位。更糟的是,他們安裝的憑證使用SHA-1(在2011年停用)和1024位元的RSA金鑰(在2013年就過時),而且它在「每台」聯想筆記型電腦上都使用相同的根憑證授權單位私密金鑰,所以就可能去攻擊憑證本身好濫用來進行大範圍的犯罪行為。
放到Twitter上的圖檔已經顯示出此功能的潛在影響。
糟糕的是,只移除Superfish並不會移除其關聯根憑證,讓電腦可能會因為有人惡意使用憑證私密金鑰而進一步的受到竊聽或網路釣魚所害。
受影響使用者需要先手動移除Superfish應用程式,隨後撤銷並移除Superfish根憑證,這裡是Windows所必需的根憑證列表,以及憑證移除說明的連結。
長遠來說,我相信製造商應該有義務提供電腦購買者裸機的選項,即沒有預裝的作業系統。這樣不只可以降低成本給使用者,還會增加選擇作業系統的自由,並且將完全控制權交還給該設備的擁有者。
@原文出處:Superfish (and chips) or Super Phish?
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知和新增到興趣主題清單,重要通知與好康不漏接
◎ 歡迎加入趨勢科技社群網站
趨勢科技PC-cillin 2015雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
