聯想部分消費型筆電預載惡意軟體SuperFish,恐成中間人攻擊幫兇導致加密傳輸破功,ThinkPad企業產品不受影響,專家籲企業進行資產盤點確保安全
筆記型電腦大廠聯想(Lenovo)驚爆部分消費型筆記型電腦,因為預載第三方廣告軟體SuperFish,不僅會變更搜尋結果、插入廣告、綁架合 法SSL/TLS連線、造成中間人攻擊,更可外洩使用者包括SSL傳輸的銀行帳戶、社交網路等個人資料。聯想技術長Peter Hortensius於2月19日在官方網站公開道歉,也同步釋出移除工具。趨勢科技全球技術長Rik Freguson則在部落格表示,SuperFish可以藉由蒐集網路資訊、自行生成各種所需憑證,將對企業帶來難以預估的資安風險。
SuperFish風波牽連甚廣,使用者抱怨頻仍
在聯想使用者論壇從2014年9月到今年1月,便陸續有使用者公開表示,部分安裝SuperFish的筆記型電腦都出現挾持用戶電腦的搜尋結果,並擅自置入第三方廣告,還會以假冒的HTTPS根憑證矇騙瀏覽器,進而綁架SSL/TLS連線等類似的惡意行為。
事 實上,聯想用戶iknorr去年9月間就在聯想論壇上反映,他以Chrome瀏覽器使用Google搜尋時,搜尋結果中會被插入廣告。經追查則發現,廣告 來自SuperFish這個廣告軟體,再仔細研究安裝日期,發現竟是內建在自己的聯想電腦中,這個廣告軟體會挾持用戶電腦的搜尋結果,並擅自置入第三方廣 告。
根據聯想事後發出的聲明,該公司的確是在2014年9月開始在部份消費型筆電機型中預載SuperFish。
今年1月,就有使用者zibartsk直言指出,更大的風險在於,SuperFish使用自行簽章的HTTPS根憑證(RootCA),可矇騙瀏覽器、認定為合法網站,並進而綁架SSL/TLS連線。
除了使用者外,也有資安研究員Marc Rogers展示一個由SuperFish冒充美國銀行所發出的憑證,這樣的手法也證明,當該惡意廣告軟體可以透過偽冒的合法網站憑證、欺騙瀏覽器時,也意味著,消費者根本無法信任任何網站。
另 外,有資安公司Errata Security安全研究人員Robert Graham解析SuperFish的憑證,僅用了3小時的逆向工程,就破解其加密密碼為komodia。他表示,如果金鑰流傳出去,就可用該憑證進行中 間人攻擊。而Komodia不但是密碼,同時也是一家專門提供SSL「重新導向」工具的公司,另一安全研究人員Filippo Valsorda指出,Superfish的廣告注射功能就是使用了Komodia的SSL攔截引擎。 |  0 42017/09/14, 11:56:45 晚上 |
|
