在超过12个应用程序中发现类似Superfish的漏洞

bug学弟 lv.1

发布时间：2022-04-24 23:31:02 396

相关标签： # 恶意软件# 设备# 软件# 软件# 缺陷

Superfish-like Vulnerability Found in Over 10 More Software

Superfish漏洞影响了2015年1月之前发货的数十台消费者级联想笔记本电脑，用户通过偷偷摸摸地拦截和解密HTTPS连接、篡改页面和注入广告，暴露在劫持技术之下。

现在，它也被认为会影响家长控制工具和其他广告软件程序。联想刚刚发布了一个自动Superfish删除工具，以确保所有主要浏览器的Superfish和证书被完全删除。但是，其他人呢？

SSL劫持

Superfish使用一种称为SSL劫持Facebook安全团队的威胁研究员马特·理查德（Matt Richard）在一篇博客文章中称，这似乎是从第三家公司Komodia购买的框架。通过修改运行其底层代码的计算机的网络堆栈，该技术能够绕过安全套接字层（SSL）保护。

Komodia安装了一个自签名根CA证书，该证书允许库拦截和解密来自互联网上任何受HTTPS保护的网站的加密连接。该公司的SSL解码器，如Superfish和其他程序，也出现在许多其他产品中。

许多应用程序使用KOMODIA库

这位研究人员还表示，Facebook发现了除Superfish之外的十几个软件应用程序，它们使用的是同一个Komodia库，该库赋予了联想（Lenovo）证书劫持能力。帖子中列出的操作员如下：

CartCrunch以色列有限公司
WiredTools有限公司
赛传媒集团有限公司
越过彩虹
技术系统警报
街机
客观化媒体公司
Catalytix Web服务
优化器监视器

"所有这些应用程序的共同点是，它们通过使用容易获得的根CA（证书颁发机构）来降低人们的安全性，它们提供的有关技术风险的信息很少，在某些情况下，它们很难被删除”理查德说。

"此外，这些拦截SSL代理很可能跟不上浏览器中的HTTPS功能（例如，证书固定和转发保密），这意味着它们可能会将私人数据暴露给网络攻击者。其中一些缺陷可以被反病毒产品检测为恶意软件或广告软件，尽管从我们的研究来看，检测成功是零星的。"

KOMODIA库易于检测

2012年，这家社交网络巨头与卡内基梅隆大学（Carnegie Mellon University）的研究人员一起启动了一个项目，以测量SSL中间人（MitM）攻击的流行程度；。

该团队发现，各种深度数据包检查（DPI）设备在不同的设备上使用相同的私钥，攻击者可以轻松利用这些私钥从任何单个设备中提取密钥。

研究人员表示，Komodia库很容易被检测到，因为安装根CA的软件包含许多易于搜索的属性，使团队能够将他们在野外看到的证书与实际软件相匹配。

SHA1哈希识别更多恶意软件

Richard还发表了SHA1加密散列，该散列在研究中用于识别包含Komodia代码库的软件。SHA1哈希的列表如下：

0CF1ED0E88761DB001495CD216E7388A5E396E
473d991245716230f7c45aec8ce8583eab89900b
fe2824a41dc206078754cc3f8b51904b27e7f725
70a56ae19cc61dd0a9f8951490db37f68c71ad66
ede269e495845b824738b21e97e34ed8552b838e
B8B6FC2B94219042C10C025218E017F039A166
42f98890f3d5171401004f2fd85267f6694200db
1FEBCB1B245C9A65402C382003D373E657AD
0a9f994a54eaae64ab4dd391cb0efe4abcac227
e89c586019e259a4796c26ff672e3fe5d56870da

研究人员接着邀请其他研究人员使用这些散列，以识别在互联网上传播的更具潜在危险的软件。

"我们发布此分析是为了提高对本地SSL MITM软件范围的认识，以便社区也能帮助保护人们及其计算机，“理查德写道。”我们认为，对这些实践进行研究将有助于生态系统更好地分析和应对类似情况。"

特别声明：以上内容（图片及文字）均为互联网收集或者用户上传发布，本站仅提供信息存储服务！如有侵权或有涉及法律问题请联系我们。