A Electronic Frontier Foundation (EFF) diz ter encontrado provas de que os problemas de segurança com Superfish poderia ser muito pior do que se pensava.
Superfish causado tal fedor quando foi descoberto na semana passada porque o software Komodia costumava conexões SSL borks. Mas os pesquisadores FEP descobriram que a biblioteca Komodia também aceita certificados falsos que deveria ter rejeitado.
O FEP corre o Observatório SSL Descentralizada, que é projetado para pegar em certificados de software desonestos e descobriu que havia mais de 1.600 exemplos detectados que o motor Komodia teria passado como OK, permitindo um ataque indetectável man-in-the-middle.
"Por causa da maneira Superfish opera não há nenhuma maneira de saber com certeza se todos estes foram usados para ataques man-in-the-middle", Jeremy Gillula, um tecnólogo equipe do EFF, disse ao The Register. "Tudo o que sabemos é que a vulnerabilidade definitivamente fez expor as pessoas, ele deixa de ser um ataque teórico para a prática."
É possível que alguns do certificado 1.600 encontrados são simplesmente mal formado, e não foram utilizadas em um ataque. Mas existem alguns grandes nomes na lista, incluindo Google, Yahoo!, Outlook e eBay.
Gillula disse que a facilidade com que própria criptografia de Komodia poderia ser comprometida (que levou os pesquisadores de segurança de duas horas para quebrar a senha) também significa que, se os autores de malware teve acesso similar, então ataques poderiam ser realizados em pessoas que compraram PCs Lenovo contendo Superfish sem qualquer indicação de um problema.
Lenovo disse El Reg que não havia nenhuma indicação de que os autores de malware foram por este vetor de ataque, mas disse que sua equipe de segurança está monitorando a situação de perto. Na sexta-feira a empresa chinesa vai liberar uma declaração sobre a forma como pretende lidar com software instala futuro de uma forma os clientes podem confiar.
Gillula disse que tal sistema seria bem-vinda, mas receia que muitas outras empresas podem estar usando outro software semelhante ao superfish para invadir PCs.
Os fornecedores de hardware carregar um monte de software em seus sistemas e Lenovo é um grande nome ", disse ele." Se não foi vetar o software corretamente, então o que está fazendo outras empresas? A não ser que o caso Lenovo atua como uma chamada wake-up para a indústria, então é inevitável que nós vamos encontrar mais dessas coisas. "®
Nenhum comentário:
Postar um comentário