新闻链接：http://www.seehand.com/category/news
新闻时间：2015/03/03
新闻正文：
鉴于本周滚滚而来的由于联想笔记本“中间人”类型攻击引发的丑闻和不利地位，Facebook公司信息安全团队的研究人员对广告程序Superfish快鱼进行了分析，专注研究其存在的漏洞。结果是，Komodia公司数据库成为罪魁祸首，因为它在秘密窃取加密数据。

“制造商通常会在提供的设备中安装多个预装应用程序，”来自Facebook信息安全团队的研究人员Matt Richard在其Facebook中写道：“Superfish快鱼案例中与众不同的是，这个程序能够拦截已经通过SSL保护的网站数据连接，并分析数据内容。”

Superfish快鱼使用来自Komodia公司的第三方数据库用于修改Windows网络堆栈以及安装新的根认证中心，这使得superfish快鱼得以冒充受SSL信任的任何站点。“新的根证书颁发机构破坏了网络浏览器和操作系统的安全性，使人们暴露于高风险中。” Richard如是写道。

引入此功能的官方理由是视觉搜索机制，这是由Superfish快鱼允许确定的，即搜索在线用户，并为他们提供自己的商品和服务。为此，Superfish快鱼实际上代表了“中间人”的位置，冒充用户连接到的浏览器显示和网站链接。

研究人员感到非常震惊的是Komodia数据库可以让你监控在互联网上的所有用户活动，只要他们发送电子邮件和消息。第二个问题是，在多个计算机上安装和使用相同的新的根认证中心。如果攻击者可以提取Superfish快鱼的CA私钥，他们就能够在不受信任的网络，如公共Wi-Fi中，利用Komodia数据库对计算机发动“中间人”攻击，以及签发恶意软件。据理查德透露，在Superfish快鱼软件中获得上述密钥是非常容易的。

据Facebook信息安全团队称，该漏洞目前只存在于Windows系统中，因为危险的Komodia数据库只发布于这个系统中。基于此，研究人员发现使用Komodia数据库的用户中有70%使用Chrome浏览器，27%使用Internet Explorer，3%使用Opera。有趣的是，研究人员没有发现任何带有漏洞的机器使用Firefox ，理查德推断，这种情况是因为这个浏览器使用它自己的根目录以验证SSL证书，而与此同时，IE和 Chrome浏览器使用的是同一套根目录。

理查德进一步写道，Superfish快鱼使用弱1024位RSA-密钥，并签署直接通用根证书，而不使用中间链证书，用于Facebook网站的假证书。

Facebook研究人员还进一步发现了一些使用该Komodia数据库的程序如下：

CartCrunch Israel LTD

WiredTools LTD

Say Media Group LTD

Over the Rainbow Tech

System Alerts

ArcadeGiant

Objectify Media Inc.

Catalytix Web Services

OptimizerMonitor

所有上述应用程序都可以在VirusTotal基站中找到，无论应用程序任务还是它们的报道中都没有提到它为什么拦截SSL连接，以及将要用拦截到的数据做什么。即使这些程序不是天生有害的，它们的存在也削弱了已安装的安全系统。除此以外，它们还很有可能不支持浏览器的高级功能证书HTTPS类的附件和直接保密，从而危及用户数据连接的隐私性。

上述程序中有一些被定义为恶意软件或作为反病毒程序的广告来使用，但这还远不是全部。研究人员能够检测到明确的恶意软件，比如 Trojan.Nurjax，它的安装基础是由大约Superfish快鱼用户的三分之二组成的。

联想公司已经发布了关于Superfish快鱼的一个通知，它提供了有关如何手动删除该程序的指引，并链接到一个自动化的工具来删除快鱼本身和它的证书。但与此同时，它不会删除Komodia数据库用户使用的其他合法或几乎合法的程序软件。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！