请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
本帖最后由 360媒体看台 于 2015-2-27 18:43 编辑

    最近一段时间,春节期间爆发的“Superfish”事件持续发酵,这款电脑预装软件究竟具有怎样的安全风险,是什么原因让Superfish具有如此广泛的影响?记者就此采访了360互联网安全中心的安全专家,该专家称,导致Superfish引发安全风险的始作俑者是一个由Komodia公司提供的SDK(Software Development Kit,软件开发工具包),除了Superfish,或有更多软件同样中招。



  Superfish不是唯一中招者 更多软件存在风险

  电脑中预装的Superfish软件,会导致多数浏览器信任低校验水平的SSL证书。该软件可以生成自签名SSL数字证书,在用户不知情的情况下,截获基于SSL的加密通讯内容,甚至允许第三方拦截SSL连接。这意味着用户电脑和网站服务器之间的加密信息可被解密、篡改,而恶意黑客可以利用该漏洞向客户端电脑发起钓鱼网站攻击。安装了Superfish的电脑用户,将有可能面临隐私泄漏、被钓鱼等严重威胁。

  据国外媒体报道,国外相关研究人员最近又在十几款其他应用程序中发现了相同的安全问题,儿童上网监控软件Qustodio、Kurupira、Infoweise,以及Komodia自己的KeepMyFamilySecure软件,还有电脑安全防护软件Lavasoft和Websecure都在其中。

  据360安全专家介绍,问题的根源在于这些软件都使用了一个由以色列公司Komodia提供的SDK,凡使用了这个SDK的软件均存在与Superfish类似的安全风险。



  漏洞已被利用来发起中间人攻击

  国外研究人员表示,这个由Komodia提供的SDK存在安全漏洞,目前攻击者已经利用Superfish等软件使用的这个SDK中的漏洞,对一些访问最为敏感的且受HTTPS保护的网站终端用户发动了真实的中间人攻击。这些站点包括Gmail、Amazon、eBay、Twitter以及Gpg4Win.org等,或已导致攻击者获得访问用户邮件、搜索历史纪录、社交媒体账户、网购账户和银行账户的权限,甚至获得安装恶意软件的能力,这可能会长久攻陷用户浏览器或读取他们的加密密钥。

  360安全专家对这款SDK存在的安全风险进行了分析:

  1、使用该SDK的每个产品在每台机器上内置的根证书是相同的,而且证书密码都是“komodia”,这会导致SSL的中间人攻击。

  2、该SDK在校验HTTPS 网站服务器发来的证书时不严谨,使得Chrome/IE不会对非法的网站证书发出警告,这将使用户面临严重的被钓鱼风险。

  3、该SDK使用了过时的较弱的加密算法。



  这一事件带来的教训无疑是深刻的。它提醒电脑OEM制造商需要更严格地对其预装软件的安全性进行把关,也提醒SDK开发商和软件开发商本着对用户负责的态度,更加关注软件设计的安全性。360安全专家介绍,目前360安全卫士可以帮助用户对Superfish软件及其证书进行彻底清理,360也将继续跟进事件发展,以期为用户电脑带来更好的安全防护。


共 14 个关于安全专家解读Superfish事件:始作俑者为Komodia的回复 最后回复于 2015-3-23 17:20

评论

直达楼层

毅_气 LV11.大校 发表于 2015-2-27 20:12 | | 私信
了解一下
ykb1103667873 LV4.上士 发表于 2015-2-28 10:10 | | 私信
前排,火钳刘明
自由自在oscar LV4.上士 发表于 2015-2-28 11:05 | | 私信
支持
15762872 LV2.下士 发表于 2015-2-28 11:28 来自360社区WAP端 | | 私信
板凳。。。。。
17193.com LV4.上士 发表于 2015-2-28 13:03 | | 私信
{:4_93:}{:4_93:}
janescheng LV8.少校 发表于 2015-2-28 15:37 | | 私信
提醒电脑OEM制造商需要更严格地对其预装软件的安全性进行把关
caven_2015 LV5.少尉 发表于 2015-2-28 16:20 | | 私信
电脑安全防护软件Lavasoft和Websecure都在其中
尹一朋 LV8.少校 发表于 2015-2-28 18:04 | | 私信
谢谢360安全专家{:5_128:}
Jeremyqz LV4.上士 发表于 2015-3-1 20:37 | | 私信
{:4_91:}
婊氱儷鐨刜2013 LV8.少校 发表于 2015-3-2 09:31 | | 私信
nzcq1 LV6.中尉 发表于 2015-3-2 18:22 | | 私信
360真棒!
无效楼层,该帖已经被删除
A1950424 LV5.少尉 发表于 2015-3-17 16:16 | | 私信
了解一下
hdysmcl LV4.上士 发表于 2015-3-23 17:20 | | 私信

360媒体看台 LV6.中尉

粉丝:175 关注:0 积分:4102

精华:0 金币:33865 经验:4100

最后登录时间:2015-06-19

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表