最近一段時(shí)間,春節(jié)期間爆發(fā)的“Superfish”事件持續(xù)發(fā)酵,這款電腦預(yù)裝軟件究竟具有怎樣的安全風(fēng)險(xiǎn),是什么原因讓Superfish具有如此廣泛的影響?記者就此采訪了360互聯(lián)網(wǎng)安全中心的安全專家,該專家稱,導(dǎo)致Superfish引發(fā)安全風(fēng)險(xiǎn)的始作俑者是一個(gè)由Komodia公司提供的SDK(Software Development Kit,軟件開發(fā)工具包),除了Superfish,或有更多軟件同樣中招。
Superfish不是唯一中招者 更多軟件存在風(fēng)險(xiǎn)
電腦中預(yù)裝的Superfish軟件,會(huì)導(dǎo)致多數(shù)瀏覽器信任低校驗(yàn)水平的SSL證書。該軟件可以生成自簽名SSL數(shù)字證書,在用戶不知情的情況下,截獲基于SSL的加密通訊內(nèi)容,甚至允許第三方攔截SSL連接。這意味著用戶電腦和網(wǎng)站服務(wù)器之間的加密信息可被解密、篡改,而惡意黑客可以利用該漏洞向客戶端電腦發(fā)起釣魚網(wǎng)站攻擊。安裝了Superfish的電腦用戶,將有可能面臨隱私泄漏、被釣魚等嚴(yán)重威脅。
據(jù)國外媒體報(bào)道,國外相關(guān)研究人員最近又在十幾款其他應(yīng)用程序中發(fā)現(xiàn)了相同的安全問題,兒童上網(wǎng)監(jiān)控軟件Qustodio、Kurupira、Infoweise,以及Komodia自己的KeepMyFamilySecure軟件,還有電腦安全防護(hù)軟件Lavasoft和Websecure都在其中。
據(jù)360安全專家介紹,問題的根源在于這些軟件都使用了一個(gè)由以色列公司Komodia提供的SDK,凡使用了這個(gè)SDK的軟件均存在與Superfish類似的安全風(fēng)險(xiǎn)。
漏洞已被利用來發(fā)起中間人攻擊
國外研究人員表示,這個(gè)由Komodia提供的SDK存在安全漏洞,目前攻擊者已經(jīng)利用Superfish等軟件使用的這個(gè)SDK中的漏洞,對(duì)一些訪問最為敏感的且受HTTPS保護(hù)的網(wǎng)站終端用戶發(fā)動(dòng)了真實(shí)的中間人攻擊。這些站點(diǎn)包括Gmail、Amazon、eBay、Twitter以及Gpg4Win.org等,或已導(dǎo)致攻擊者獲得訪問用戶郵件、搜索歷史紀(jì)錄、社交媒體賬戶、網(wǎng)購賬戶和銀行賬戶的權(quán)限,甚至獲得安裝惡意軟件的能力,這可能會(huì)長久攻陷用戶瀏覽器或讀取他們的加密密鑰。
360安全專家對(duì)這款SDK存在的安全風(fēng)險(xiǎn)進(jìn)行了分析:
1、使用該SDK的每個(gè)產(chǎn)品在每臺(tái)機(jī)器上內(nèi)置的根證書是相同的,而且證書密碼都是“komodia”,這會(huì)導(dǎo)致SSL的中間人攻擊。
2、該SDK在校驗(yàn)HTTPS 網(wǎng)站服務(wù)器發(fā)來的證書時(shí)不嚴(yán)謹(jǐn),使得Chrome/IE不會(huì)對(duì)非法的網(wǎng)站證書發(fā)出警告,這將使用戶面臨嚴(yán)重的被釣魚風(fēng)險(xiǎn)。
3、該SDK使用了過時(shí)的較弱的加密算法。
這一事件帶來的教訓(xùn)無疑是深刻的。它提醒電腦OEM制造商需要更嚴(yán)格地對(duì)其預(yù)裝軟件的安全性進(jìn)行把關(guān),也提醒SDK開發(fā)商和軟件開發(fā)商本著對(duì)用戶負(fù)責(zé)的態(tài)度,更加關(guān)注軟件設(shè)計(jì)的安全性。360安全專家介紹,目前360安全衛(wèi)士可以幫助用戶對(duì)Superfish軟件及其證書進(jìn)行徹底清理,360也將繼續(xù)跟進(jìn)事件發(fā)展,以期為用戶電腦帶來更好的安全防護(hù)。