上周,聯(lián)想集團成為科技新聞的主角,因為其新出廠電腦中被發(fā)現(xiàn)了一款名為Superfish的惡意軟件,可以修改或者偽造數(shù)字證書,威脅用戶信息安全。近日,安全業(yè)界人士已經(jīng)發(fā)現(xiàn)了這一事件的另外一個真兇——一家名為Komodia的公司,該公司的網(wǎng)站日前已經(jīng)被黑客攻破。
Superfish能夠偽造數(shù)字證書,獲取某一臺電腦加密發(fā)出的安全信息,比如口令或者銀行賬戶信息,這將威脅用戶安全。該軟件的攻擊方式被稱為中間人攻擊,其可以攔截電腦和外界通信的部分信息。
許多的互聯(lián)網(wǎng)網(wǎng)站采用了數(shù)字證書技術(shù),相當于網(wǎng)站的一個身份證,借此證明自己的真實身份。但是Superfish繞過了這套安全機制,它使用了偽造的數(shù)字證書,讓電腦用戶將某個李鬼網(wǎng)站認為是真實的李逵網(wǎng)站。
這個偽造的數(shù)字證書來自何處? 據(jù)悉來自一家名為Komodia的公司,這家公司目前已經(jīng)對科技媒體作出證實。
最近,許多安全業(yè)界人士對Komodia公司的所作所為進行了調(diào)查,發(fā)現(xiàn)其安全漏洞還涉及了許多公司產(chǎn)品,安全風險要比預想的大得多。
Komodia公司提供某種軟件工具,可以制造偽造的數(shù)字證書,據(jù)稱目前擁有一百多家企業(yè)用戶,其中包括不少的財富五百強企業(yè)。
這家公司在營銷材料中自稱,可以通過十分簡單的用戶界面,讓用戶攔截網(wǎng)站通信數(shù)據(jù)和互聯(lián)網(wǎng)應用信息。在該公司的網(wǎng)站上,其將一款軟件開發(fā)包公開稱之為“SSL劫持者”(SSL是互聯(lián)網(wǎng)上最廣為使用的加密協(xié)議)。
據(jù)稱,該公司的技術(shù)也被用于一些合法使用的軟件,比如家長控制孩子訪問權(quán)限的軟件,以及匿名上網(wǎng)工具等等。
據(jù)安全公司Errata的首席執(zhí)行官格拉漢姆(Rob Graham)研究發(fā)現(xiàn),在提供虛假數(shù)字證書時,廠商應該向每一臺電腦提供一個獨立的用戶密碼,這樣黑客要攻擊這些電腦存在問題,因為要破解無數(shù)個密碼。
格拉哈姆指出,Komodia公司的問題,是其所有的證書軟件都采用了一個統(tǒng)一的密碼,即公司名字“komodia”。格拉漢姆表示,他只用了三個小時,就破解了密碼。
另外一個安全業(yè)界人士羅杰斯(Marc Rogers)近日也發(fā)表文章稱,Komodia公司在許多的安全產(chǎn)品中也采用了同一個架構(gòu),這意味著虛假數(shù)字證書和單一密碼的威脅,不僅僅局限于聯(lián)想集團的電腦,所有曾經(jīng)使用過Komodia公司產(chǎn)品的用戶,都需要檢查電腦是否存在安全風險。
這意味著Komodia公司帶來的安全風險,要比預想的大得多。
到底有多少個人電腦存在Komodia公司的技術(shù)和產(chǎn)品?以及有多少黑客已經(jīng)盯住了這些“獵物”,這仍不得而知。
在Komodia公司和Supuerfish事件的關(guān)系被曝光之后,該公司的網(wǎng)站已經(jīng)癱瘓,可能遭到了拒絕服務攻擊。
目前,一些安全人士已經(jīng)開始給用戶提供幫助,比如安全公司Cloudflare的工程師Filippo Valsorda已經(jīng)制作了一個網(wǎng)頁,用戶可以檢查是否有來自Komodia公司的產(chǎn)品在電腦上攔截信息。
京公網(wǎng)安備 11010502049343號