联想Superfish事件只是冰山一角

春节期间,联想PC上发生的“Superfish事件”在国外被炒得火热,虽然联想已经发布了清除Superfish的工具,但昨天Facebook的安全专家发表了一份分析报告,他认为公众所看到的Superfish事件其实只是冰山一角。

联想Superfish事件始末

上周末,海外用户在联想官方网站上投诉称,近期购买的PC中预安装了名为“Superfish”软件。

Superfish是一款预装在联想消费PC中的广告程序,但却会增加用户受到黑客攻击的风险。研究人员昨天发现并公布了一个密码,使得任何人都可以解锁认证授权,并绕过相关电脑的网络加密措施。此事也导致Superfish的安全问题迅速恶化。

借助这一密码及适当的软件,与存在漏洞的联想电脑用户处在同一个WiFi网络中的任何人都有可能监视该用户,或者向其数据流中植入恶意软件,比如能在未经用户许可情况下影响IE和Chrome等浏览器上的Google搜索结果,并能在用户浏览的网页中嵌入自己的广告。

2015年2月21日上午,联想公司发布声明,该公司已经推出了一款工具,帮助用户删除备受争议的Superfish软件。

至少10款软件存在同样的安全风险

然而事情并未结束,昨天来自Facebook的安全研究员Matt Richard透露,Facebook已经发现了至少10款软件使用了Superfish用来劫持流量的“Komodia”库,这意味着这些软件存在同样的安全风险。

Komodia会安装一个自签名CA证书,通过证书能进行SSL劫持监听HTTPS流量。

Facebook和卡内基梅隆大学在2012年发起了一项针对“SSL中间人攻击普遍性”的研究。他们发现某些深层报文检测(DPI)设备使用了相同的私钥,这一点可以被攻击者利用,攻击者能够从某一个设备提取到密钥。

类似地,Superfish也在所有设备中使用了相同的私钥,但相比那些深层报文检测(DPI)设备,Superfish的根证书被共享在更多的设备上。

Richard报告称Superfish签署的假冒的数字证书使用的是安全性较弱的1024位RSA密钥,并且是用通用根证书签署的。

Facebook的一篇文章提到:

“Superfish签署的伪造Facebook的证书使用了安全性较弱的1024位RSA密钥,而且是直接从通用根证书签署的,不是通过中间证书颁发机构签署。企业防火墙也会在员工的电脑中安装根证书用以过滤流量,但不同的是类似Superfish这样的软件是在全世界传播的。”

如此做法目的何在?

Richard没有对这些软件进行SSL流量劫持背后的动机作评论。

“这些软件背后的动机是什么我们不能确定,但貌似还没有解释他们为何要拦截SSL流量,或者他们把这些数据拿来干嘛”

Facebook专家们分析了全球各地Windows端Superfish截取的SSL连接数量,同时还发现一组也使用了Komodia库的恶意木马Trojan.Nurjax。

20150319043221130

Komodia库还被其他程序使用,完整的使用该技术的公司包括:

CartCrunch Israel LTD

WiredTools LTD

Say Media Group LTD

Over the Rainbow Tech

System Alerts

ArcadeGiant

Objectify Media Inc

Catalytix Web ServicesOptimizerMonitor

如何检测这些恶意软件

Komodia库非常容易检测,安装CA根证书的软件具有很多能够轻易找到的属性,使得我们能将看到的证书和具体软件联系起来。这些函数包括CertInstallAll、 GetCertPEMDLL、 InstallFirefoxDirectory、SetCertDLL和SetLogFunctionDLL。

大多数的库都是为Windows 8设计的,不会再较旧系统上安装。

Facebook的专家们还提供了一个用来检测这些恶意软件的SHA1校验值列表:

0cf1ed0e88761ddb001495cd2316e7388a5e396e

473d991245716230f7c45aec8ce8583eab89900b

fe2824a41dc206078754cc3f8b51904b27e7f725

70a56ae19cc61dd0a9f8951490db37f68c71ad66

ede269e495845b824738b21e97e34ed8552b838e

b8b6fc2b942190422c10c0255218e017f039a166

42f98890f3d5171401004f2fd85267f6694200db

1ffebcb1b245c9a65402c382001413d373e657ad

0a9f994a54eaae64aba4dd391cb0efe4abcac227

e89c586019e259a4796c26ff672e3fe5d56870da

Richard认为,此次发布的这些分析可以提高公众对于SSL中间人攻击的安全意识。

文章来源:Freebuf黑客与极客(FreeBuf.COM)

 

上一篇:全球6000万台Mac电脑仍受到Rootpipe漏洞(后门)影响

下一篇:谷歌正为Gmail开发PGP端到端加密技术