更多软件被发现使用类似 Superfish 中间人攻击技术

oschina
 oschina
发布于 2015年02月25日
收藏 10

广告软件Superfish会在电脑上安装自签名证书,它的HTTPS拦截组件不是自己开发的,而是来自Komodia。这家公司向超过100个客户供应了HTTPS 解密和拦截软件,其中包括财富500强企业。嵌入Komodia代码的一个程序是去年底发现的木马Trojan.Nurjax,此外还有System Alerts、ArcadeGiant、Catalytix Web Services、OptimizerMonitor等。

研究人员发现,杀毒软件公司Lavasoft的Lavasoft Ad-aware Web Companion也整合了Komodia的SSL拦截技术。大多数安全产品都使用类似的自签名证书去探测SSL劫持威胁,但其它安全公司还没有被报告使用了此种存在漏洞的实现。

另一个安全公司的广告软件是PrivDog,与知名CA发行商Comodo有关联,互联网上三分之一的SSL证书是Comodo发行的,独立版本的PrivDog被发现会关闭CA证书检查,导致浏览器信任任意的自签名证书。PrivDog已经发表声明证实独立版本存在漏洞,但宣称漏洞的危险等级是“低”。此类的自签名证书引发了浏览器是否应该信任自签名证书的争议。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:更多软件被发现使用类似 Superfish 中间人攻击技术
加载中

最新评论(17

静风流云
静风流云

引用来自“阿信sxq”的评论

什么是自签名证书

引用来自“静风流云”的评论

就是私有证书,没有权威机构授权的。
白话的说法,就是野鸡大学发个学位证,但教育部不认可。

引用来自“max_sun”的评论

权威机构是怎么定义的?
额,只是在ssh和svn上用过私有证书。自己没买过,说不大清楚。
应该一些专门发数字证书的(CA)公司,并且被微软等大公司认可的。
如果用了他们的证书,https的时候,就不会提示证书风险。
具体可以问问红薯,osc登录的https证书,就是买的,这个他提过。呵呵!
max_sun
max_sun

引用来自“阿信sxq”的评论

什么是自签名证书

引用来自“静风流云”的评论

就是私有证书,没有权威机构授权的。
白话的说法,就是野鸡大学发个学位证,但教育部不认可。
权威机构是怎么定义的?
max_sun
max_sun
铁道部就是这么任性,才能抄出世界一流的高铁。你说对吧?
max_sun
max_sun

引用来自“Narcissu5”的评论

12306的证书算不算自签名
铁道部这么大一家公司,你是相信还是不相信呢?自签名证书有什么问题呢?
欣儿
欣儿
有什么危害?被入侵?
静风流云
静风流云

引用来自“阿信sxq”的评论

什么是自签名证书

引用来自“静风流云”的评论

就是私有证书,没有权威机构授权的。
白话的说法,就是野鸡大学发个学位证,但教育部不认可。

引用来自“哆啦比猫”的评论

还有自己给自己发学位证的呢……
恩,也算私有证书。呵呵!
wendal
wendal
铁道部的https是CDN的原因,别啥都喷行不
哆啦比猫
哆啦比猫

引用来自“阿信sxq”的评论

什么是自签名证书

引用来自“静风流云”的评论

就是私有证书,没有权威机构授权的。
白话的说法,就是野鸡大学发个学位证,但教育部不认可。
还有自己给自己发学位证的呢……
妈她亲我
妈她亲我

引用来自“Narcissu5”的评论

12306的证书算不算自签名

引用来自“leelege”的评论

铁道部的更恶劣,我记得它网站上的导入说明是要求你把12306的自定义证书作为根证书导入的~
建议把电脑里CNNIC颁发的证书也删掉。
返回顶部
顶部