【IT】Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか? (3レス)
上下前次1-新
1: 2015/02/20(金)15:38 ID:t2Jkd4Nu(1/2) AAS
Lenovo製PCにアドウェア「VisualDiscovery(通称:Superfish)」が潜んでいるという事がサポートフォーラムで問題視されましたが
どうやらSuperfishは単なるアドウェアというわけではなく、悪意のある攻撃者によってやりたい放題される危険を持つ超絶セキュリティホールであったことが判明しています。
Lenovo Turns Off Superfish PC Adware Following Customer Complaints - Personal Tech News - WSJ
外部リンク:blogs.wsj.com
Superfishの表向きの目的は、ユーザーに無断でHTMLを書き換えてJavaScriptを差し込み広告を表示するということにあり
いわゆるアドウェアとしての機能のように思えます。
しかし、Superfishが広告を表示させるために使っている手法は
安全な通信を担保するため使われるSSL通信における認証局(CA)を無断で偽造するという方法であり
これが重大なセキュリティホールであるとのこと。
一般的にSSL通信では、ウェブブラウザはアクセスするサーバからCAによる認証済みの証明書を送ってもらい
省13
2: 2015/02/20(金)15:59 ID:t2Jkd4Nu(2/2) AAS
Superfishの「手口」とその仕組みについては、以下のサイトで非常に分かりやすく図解されています。
Superfishが危険な理由 - めもおきば
外部リンク:d.hatena.ne.jp
さらに最悪なことに、SuperfishはCAの署名(秘密鍵)をSuperfishプログラム内に保管しており、Superfishの証明書やSuperfish CAは全世界すべてで共通したものが流用されているとのこと。
つまり、Lenovo製PCのSuperfishからSuperfich CAの秘密鍵を取り出すことで、悪意ある攻撃者が攻撃し放題になるというわけです。
なお、Superfish CAの秘密鍵の取り出しに成功している例はすでに登場しています。
Errata Security: Extracting the SuperFish certificate
外部リンク[html]:blog.erratasec.com
省14
3: 2022/05/09(月)10:17 ID:rp/cXDtq(1) AAS
「Superfishは2014年9月から12月の間に出荷されたWidowsノートPCにプリインストールされていたが
↑ ノートPC、ラップトップだけの問題かね?
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.050s*