Superfish har inte blivit fångad än: SSL Hijacking förklaras

Lenovos Superfish malware orsakade en rörelse, men historien är inte över. Även om du har tagit bort adware från din dator finns samma sårbarhet i andra onlineapplikationer.

Lenovos Superfish malware orsakade en rörelse, men historien är inte över.  Även om du har tagit bort adware från din dator finns samma sårbarhet i andra onlineapplikationer.
Annons

Lenovos Superfish malware Lenovo Laptop ägare Var uppmärksam: Din enhet kan ha förinstallerad skadlig kod Lenovo bärbara ägare Var uppmärksam: Din enhet kan ha förinstallerad skadlig kod Kinesisk datorproducent Lenovo har medgett att bärbara datorer levereras till butiker och konsumenter i slutet av 2014 hade skadlig programvara förinstallerad. Läs mer har orsakat ganska rörelse under den senaste veckan. Inte bara lade bärbara datortillverkaren in datorer med adware, men det gjorde de datorerna mycket utsatta för attack. Du kan bli av med Superfish nu, men historien är inte över. Det finns många fler appar där ute att oroa sig för.

Catching Superfish

Lenovo har släppt ett verktyg som blir av med Superfish, och Microsoft har uppdaterat sin antivirusprogramvara för att fånga och ta bort olägenheterna. Andra antivirusprogramleverantörer är säker på att följa snabbt. Om du äger en Lenovo-bärbar dator och du inte har vidtagit åtgärder för att bli av med Superfish, borde du göra det omedelbart!

lenovo-Superfish

Om du inte blir av med det kommer du att vara mycket mer mottaglig för man-i-mitten attacker som gör att det ser ut som om du kommunicerar med en säker webbplats när du faktiskt kommunicerar med en angripare. Superfish gör det så att det kan få mer information om användare och injicera annonser på sidor, men angripare kan dra nytta av det här hålet.

Hur fungerar SSL Hijacking?

Superfish använder en process som heter SSL-kapning för att komma till användarnas krypterade data. Processen är faktiskt ganska enkel. När du ansluter till en säker webbplats går din dator och servern genom ett antal steg:

  1. Din dator ansluter till webbplatsen HTTP (osäker).
  2. HTTP-servern omdirigerar dig till HTTPS-versionen (säker) på samma webbplats.
  3. Din dator ansluter till HTTPS-webbplatsen.
  4. HTTPS-servern tillhandahåller ett certifikat som ger en positiv identifiering av webbplatsen.
  5. Anslutningen är klar.

Under en man-i-mitten attack är steg 2 och 3 äventyras. Hackarens dator fungerar som en bro mellan din dator och den säkra servern och avlyser all information som passerat mellan de två, eventuellt inklusive lösenord, kreditkortsuppgifter eller annan känslig data. En mer fullständig förklaring finns i den här stora artikeln om man-i-mitten attacker. Vad är en man-i-mittenattack? Säkerhetsjargon förklarade Vad är en man-i-mittenattack? Security Jargon Explained Om du har hört talas om "man-in-the-middle" -attacker men inte helt säkra på vad det betyder är det här artikeln för dig. Läs mer .

Sharken bakom fisken: Komodia

Superfish är en del av Lenovo-programvaran, men den är byggd på ett ramverk som redan finns, skapat av ett företag som heter Komodia. Komodia gör ett antal olika verktyg, varav de flesta är uppbyggda kring målet att avlyssna SSL-krypterad internettrafik, snabbt dekryptera den och låta användaren göra olika saker, såsom filterdata eller skärmkrypterad surfning.

Komodia hävdar att deras programvara kan användas för saker som föräldrakontroll, filtrering som potentiellt avslöjar information från krypterade e-postmeddelanden och sprutar annonser till webbläsare som begränsar de olika tilläggstillägg som läggs till. Självklart finns det bra och några dåliga potentiella användningsområden för den här programvaran, men det faktum att det dekrypterar din SSL-trafik utan att ge dig några aning om att du inte längre surfar säkert är mycket oroande.

komodia-logo

För att göra en lång historia kort har Superfish använt ett säkerhetscertifikat med ett lösenord. Vad är ett webbplats säkerhetscertifikat och varför ska du bry dig? Vad är ett webbplats säkerhetscertifikat och varför ska du bry dig? Läs mer, vilket innebär att alla som hade lösenordet till det intyget skulle ha tillgång till någon trafik som övervakas av Superfish. Så vad hände efter att Superfish upptäcktes? Någon knäckte lösenordet och publicerade det och lämnade ett stort antal Lenovo bärbara ägare sårbara.

En säkerhetsforskare rapporterade i ett blogginlägg att lösenordet var "komodia". Allvarligt.

Men Superfish är inte den enda mjukvaran som använder Komodia-ramar. En Facebook-säkerhetsforskare upptäckte nyligen över ett dussin andra programstycken med hjälp av Komodia Tech, vilket innebär att ett stort antal SSL-anslutningar skulle kunna äventyras. Ars Technica rapporterade att över 100 kunder, inklusive Fortune 500-företag, också använder Komodia. Och ett antal andra certifikat löstes också med lösenordet "komodia".

Andra SSL Hijackers

Medan Komodia är en stor fisk på SSL kapningsmarknaden finns det andra. PrivDog, en Comodo-tjänst som ersätter annonser från webbplatser med betrodda annonser, visade sig ha en sårbarhet som också kan tillåta man-i-mitten-attacker. Forskare säger att PrivDog sårbarheten är ännu värre än Superfish.

privdog-logo

Det här är inte heller så ovanligt. Många gratisprogram levereras med andra adware och andra saker som du inte vill ha (How-To Geek publicerade ett bra experiment på detta), och många använder SSL-kapning för att inspektera de data som du skickar över krypterade anslutningar. Lyckligtvis är åtminstone några av dem lite smartare om deras säkerhetscertifiering, vilket betyder att inte varje SSL-kapare orsakar säkerhetshål lika stora som de som skapats av Superfish eller PrivDog.

Ibland finns det bra skäl att ge en app tillgång till dina krypterade anslutningar. Om din antivirusprogram inte kan dekryptera din kommunikation med en HTTPS-webbplats, skulle det till exempel inte kunna förhindra att skadlig programvara infekterar din dator via en säker anslutning. Föräldrakontrollprogramvara behöver också tillgång till säkra anslutningar, eller barn kan bara använda HTTPS för att kringgå innehållsfiltreringen.

Men när adware övervakar dina krypterade anslutningar och öppnar dem för att attackera, borde du vara orolig.

Vad ska man göra?

Tyvärr måste många man-i-mitten attacker förebyggas genom åtgärder på server-sidan, vilket innebär att du kan bli utsatt för dessa typer av attacker utan att veta det. Men du kan ta ett antal åtgärder för att hålla dig säker. Filippo Valsorda har skapat en webbapp som söker Superfish, Komodia, PrivDog och annan SSL-inaktiverande programvara på din dator. Det är ett bra ställe att börja.

https-lock

Du bör också vara uppmärksam på certifikatvarningar, dubbelkontrollera HTTPS-anslutningar, var försiktig med offentlig Wi-Fi och kör aktuell antivirusprogramvara. Kontrollera vilka webbläsaretillägg som är installerade i din webbläsare och ta bort de som du inte känner igen. Var försiktig när du hämtar fri programvara, eftersom mycket adware är buntad med den.

Utöver det är det bästa vi kan göra att kommunicera vår ilska mot de företag som producerar och använder denna teknik, som Komodia. Deras hemsida har nyligen tagits ner, påstås av ett distribuerat avslag på tjänstgöring Vad är ett DDoS-angrepp? [MakeUseOf Förklarar] Vad är ett DDoS Attack? [MakeUseOf Explains] Termen DDoS visslar förbi när cyberaktivism ger upp huvudet en massa. Dessa typer av attacker gör internationella rubriker på grund av flera anledningar. De problem som hoppa över de DDoS-attackerna är ofta kontroversiella eller mycket ... Läs mer, vilket tyder på att många människor var snabba att uttrycka sin missnöje. Det är dags att klargöra att SSL kapning är helt oacceptabelt.

Vad tycker du om SSL hijacking adware? Tror du att vi borde uppmana företagen att stoppa denna praxis? Ska det till och med vara lagligt? Dela dina tankar nedan!

Bildkrediter: Shark-tecknad Via Shutterstock, HTTPS säker anslutning loggar in via Shutterstock.

In this article