更多软件被发现使用类似 Superfish 中间人攻击技术

2015年02月25日

广告软件Superfish会在电脑上安装自签名证书,它的HTTPS拦截组件不是自己开发的,而是来自Komodia。这家公司向超过100个客户供应了HTTPS 解密和拦截软件,其中包括财富500强企业。嵌入Komodia代码的一个程序是去年底发现的木马Trojan.Nurjax,此外还有System Alerts、ArcadeGiant、Catalytix Web Services、OptimizerMonitor等。

研究人员发现,杀毒软件公司Lavasoft的Lavasoft Ad-aware Web Companion也整合了Komodia的SSL拦截技术。大多数安全产品都使用类似的自签名证书去探测SSL劫持威胁,但其它安全公司还没有被报告使用了此种存在漏洞的实现。

另一个安全公司的广告软件是PrivDog,与知名CA发行商Comodo有关联,互联网上三分之一的SSL证书是Comodo发行的,独立版本的PrivDog被发现会关闭CA证书检查,导致浏览器信任任意的自签名证书。PrivDog已经发表声明证实独立版本存在漏洞,但宣称漏洞的危险等级是“低”。此类的自签名证书引发了浏览器是否应该信任自签名证书的争议。

展开阅读全文
10 收藏
分享
加载中
最新评论 (17)

引用来自“阿信sxq”的评论

什么是自签名证书

引用来自“静风流云”的评论

就是私有证书,没有权威机构授权的。
白话的说法,就是野鸡大学发个学位证,但教育部不认可。

引用来自“max_sun”的评论

权威机构是怎么定义的?
额,只是在ssh和svn上用过私有证书。自己没买过,说不大清楚。
应该一些专门发数字证书的(CA)公司,并且被微软等大公司认可的。
如果用了他们的证书,https的时候,就不会提示证书风险。
具体可以问问红薯,osc登录的https证书,就是买的,这个他提过。呵呵!
2015-02-27 09:26
0
回复
举报

引用来自“阿信sxq”的评论

什么是自签名证书

引用来自“静风流云”的评论

就是私有证书,没有权威机构授权的。
白话的说法,就是野鸡大学发个学位证,但教育部不认可。
权威机构是怎么定义的?
2015-02-26 22:17
0
回复
举报
铁道部就是这么任性,才能抄出世界一流的高铁。你说对吧?
2015-02-26 22:15
0
回复
举报

引用来自“Narcissu5”的评论

12306的证书算不算自签名
铁道部这么大一家公司,你是相信还是不相信呢?自签名证书有什么问题呢?
2015-02-26 22:13
0
回复
举报
有什么危害?被入侵?
2015-02-26 13:41
0
回复
举报

引用来自“阿信sxq”的评论

什么是自签名证书

引用来自“静风流云”的评论

就是私有证书,没有权威机构授权的。
白话的说法,就是野鸡大学发个学位证,但教育部不认可。

引用来自“哆啦比猫”的评论

还有自己给自己发学位证的呢……
恩,也算私有证书。呵呵!
2015-02-26 10:58
0
回复
举报
铁道部的https是CDN的原因,别啥都喷行不
2015-02-26 09:01
0
回复
举报

引用来自“阿信sxq”的评论

什么是自签名证书

引用来自“静风流云”的评论

就是私有证书,没有权威机构授权的。
白话的说法,就是野鸡大学发个学位证,但教育部不认可。
还有自己给自己发学位证的呢……
2015-02-26 01:07
0
回复
举报

引用来自“Narcissu5”的评论

12306的证书算不算自签名

引用来自“leelege”的评论

铁道部的更恶劣,我记得它网站上的导入说明是要求你把12306的自定义证书作为根证书导入的~
建议把电脑里CNNIC颁发的证书也删掉。
2015-02-25 21:46
0
回复
举报
更多评论
17 评论
10 收藏
分享
在线直播报名
返回顶部
顶部