最近一段時間,春節期間爆發的“Superfish”事件持續發酵,這款電腦預裝軟件究竟具有怎樣的安全風險,是什么原因讓Superfish具有如此廣泛的影響?記者就此采訪了360互聯網安全中心的安全專家,該專家稱,導致Superfish引發安全風險的始作俑者是一個由Komodia公司提供的SDK(Software Development Kit,軟件開發工具包),除了Superfish,或有更多軟件同樣中招。
Superfish不是唯一中招者 更多軟件存在風險
電腦中預裝的Superfish軟件,會導致多數瀏覽器信任低校驗水平的SSL證書。該軟件可以生成自簽名SSL數字證書,在用戶不知情的情況下,截獲基于SSL的加密通訊內容,甚至允許第三方攔截SSL連接。這意味著用戶電腦和網站服務器之間的加密信息可被解密、篡改,而惡意黑客可以利用該漏洞向客戶端電腦發起釣魚網站攻擊。安裝了Superfish的電腦用戶,將有可能面臨隱私泄漏、被釣魚等嚴重威脅。
據國外媒體報道,國外相關研究人員最近又在十幾款其他應用程序中發現了相同的安全問題,兒童上網監控軟件Qustodio、Kurupira、Infoweise,以及Komodia自己的KeepMyFamilySecure軟件,還有電腦安全防護軟件Lavasoft和Websecure都在其中。
據360安全專家介紹,問題的根源在于這些軟件都使用了一個由以色列公司Komodia提供的SDK,凡使用了這個SDK的軟件均存在與Superfish類似的安全風險。
漏洞已被利用來發起中間人攻擊
國外研究人員表示,這個由Komodia提供的SDK存在安全漏洞,目前攻擊者已經利用Superfish等軟件使用的這個SDK中的漏洞,對一些訪問最為敏感的且受HTTPS保護的網站終端用戶發動了真實的中間人攻擊。這些站點包括Gmail、Amazon、eBay、Twitter以及Gpg4Win.org等,或已導致攻擊者獲得訪問用戶郵件、搜索歷史紀錄、社交媒體賬戶、網購賬戶和銀行賬戶的權限,甚至獲得安裝惡意軟件的能力,這可能會長久攻陷用戶瀏覽器或讀取他們的加密密鑰。
360安全專家對這款SDK存在的安全風險進行了分析:
1、使用該SDK的每個產品在每臺機器上內置的根證書是相同的,而且證書密碼都是“komodia”,這會導致SSL的中間人攻擊。
2、該SDK在校驗HTTPS 網站服務器發來的證書時不嚴謹,使得Chrome/IE不會對非法的網站證書發出警告,這將使用戶面臨嚴重的被釣魚風險。
3、該SDK使用了過時的較弱的加密算法。
這一事件帶來的教訓無疑是深刻的。它提醒電腦OEM制造商需要更嚴格地對其預裝軟件的安全性進行把關,也提醒SDK開發商和軟件開發商本著對用戶負責的態度,更加關注軟件設計的安全性。360安全專家介紹,目前360安全衛士可以幫助用戶對Superfish軟件及其證書進行徹底清理,360也將繼續跟進事件發展,以期為用戶電腦帶來更好的安全防護。
京公網安備 11010502049343號