CH azonosító
CH-12019Angol cím
Lenovo Superfish adware HTTPS spoofing vulnerability UPDATE 2015.02.25.Felfedezés dátuma
2015.02.19.Súlyosság
MagasÖsszefoglaló
A Lenovo PC-kre előtelepített Superfish adware egy nem egyedi megbízható root tanúsítványt telepít, amely így lehetőséget nyújt rosszindulatú felhasználók számára a HTTPS forgalom hamisításara (Man-in-the-middle támadás).
Leírás
2014 szeptemberétől kezdődően a Lenovo vállalat a Superfish VisualDiscovery spyware programmal előtelepítve értékesítette néhány számítógépét. Ez a szoftver észleli és elfogja a felhasználó webes forgalmát. A kódolt HTTPS kapcsolat lehallgatásához a szoftver root tanúsítványt telepít. Az összes böngészőből indított titkosított internetforgalmat elfognak, megfejtenek, újra titkosítják, majd visszaadják a böngészőnek. A böngésző nem figyelmeztet, hogy a forgalmat lehallgatták, mivel az aláíró tanúsítvány szerepel a megbízható tanúsítványok között. A privát kulcsot a Superfish programból könnyen ki lehet nyerni, így egy támadó képes bármely weboldal számára olyan tanúsítványt kiállítani, amelyet a rendszer megbízhatónak talál. Ezt kihasználva banki oldalak, email fiókok forgalmát változtathatják meg.
UPDATE, 2015.02.25.
A Comodo biztonsági cég által terjesztett PrivDog szoftver hasonló sebezhetőségre érzékeny.
A PrivDog saját maga által generált tanúsítványt telepít a rendszerre, majd a felhasználó HTTPS kapcsolatát módosítja úgy, hogy a megbízható oldal tanúsítványait lecseréli a sajátjára.
A Superfish-el ellentétben a PrivDog minden rendszerre különböző root tanúsítványt telepít, így megosztott privát kulcs nélkül a támadók nem tudnak rosszindulatú tanúsítványt generálni.
A PrivDog azonban hibásan ellenőrzi az eredeti tanúsítványokat, így egy rosszindulatú tanúsítványt elfogad és lecseréli egy olyanra, amit a böngésző megbízhatóként fog elismerni.
A folyamat ettől a ponttól szinte ugyanaz:
Egy publikus vezeték nélküli hálózatra vagy egy támadó által vezérelt routerre csatlakozva a HTTPS forgalmat lehallgathatják, kikódolhatják majd újratitkosíthatják, mindezt a böngésző által adott figyelmeztetések nélkül.
További gyanús alkalmazások, amelyek a tanúsítványt telepíthetik a rendszerre:
- CartCrunch Israel LTD
- WiredTools LTD
- Say Media Group LTD
- Over the Rainbow Tech
- System Alerts
- ArcadeGiant
- Objectify Media Inc
- Catalytix Web Services
- OptimizerMonitor
- Keep My Family Secure
- Qustodio
- Kurupira
- Superfish Visual Discovery
- Ad-Aware Web Companion
Megoldás
Távolítsa el a Superfish VisualDiscovery-t és más gyanús alkalmazásokat, valamint a hozzájuk fűződő root tanúsítványokat.
Lenovo által megadott eszköz az eltávolításra:
http://support.lenovo.com/us/en/product_security/superfish_uninstall
Microsoft leírása a tanúsítvány eltávolításáról („Superfish, Inc.” névre kiállított tanúsítvány):
https://technet.microsoft.com/en-us/library/cc772354.aspx
http://windows.microsoft.com/en-us/windows-vista/view-or-manage-your-certificates
Mozilla útmutató a szoftvereik tanúsítványkezeléséhez (Firefox, Thunderbird, …):
https://wiki.mozilla.org/CA:UserCertDB#Deleting_a_Root_Certificate
Frissítsen a legújabb PrivDog verzióra: http://privdog.com/downloads.html
Támadás típusa
Hijacking (Visszaélés)Manipulation of data
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: news.lenovo.com
US-CERT 529496
