【IT】Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか? (3レス)
【IT】Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか? http://next2ch.net/test/read.cgi/news/1424414295/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
1: 名無しさん@Next2ch [] 2015/02/20(金) 15:38:15.10 ID:t2Jkd4Nu Lenovo製PCにアドウェア「VisualDiscovery(通称:Superfish)」が潜んでいるという事がサポートフォーラムで問題視されましたが どうやらSuperfishは単なるアドウェアというわけではなく、悪意のある攻撃者によってやりたい放題される危険を持つ超絶セキュリティホールであったことが判明しています。 Lenovo Turns Off Superfish PC Adware Following Customer Complaints - Personal Tech News - WSJ http://blogs.wsj.com/personal-technology/2015/02/19/lenovo-turns-off-superfish-pc-adware-following-customer-complaints/ Superfishの表向きの目的は、ユーザーに無断でHTMLを書き換えてJavaScriptを差し込み広告を表示するということにあり いわゆるアドウェアとしての機能のように思えます。 しかし、Superfishが広告を表示させるために使っている手法は 安全な通信を担保するため使われるSSL通信における認証局(CA)を無断で偽造するという方法であり これが重大なセキュリティホールであるとのこと。 一般的にSSL通信では、ウェブブラウザはアクセスするサーバからCAによる認証済みの証明書を送ってもらい 信頼できるCAの一覧であるルート証明書リストと照合して、安全な通信であると判断できる場合にのみアクセスが可能になります。 しかし、SuperfishはサーバからCA付き証明書を送信してもらう通信を乗っ取り、偽造したCA(以下、「Superfish CA」と呼ぶ)付きの証明書を送信します。 普通のPCであれば得体の知れないSuperfish CAをはじいて通信が安全ではないと判断するのですが SuperfishがプリインストールされたLenovo製PCの場合、「Superfish CAを信頼できるCAとして認識する」という設定で出荷していました。 したがって、Superfish CAの認証があれば、本来は通信を拒否されるはずが無制限にアクセスOKになり、暗号化自体もこの時点で解除されるとのこと。 つまり、Superfishはブラウザとサーバの間に割り込んで暗号化機能を無効化できるというわけです。 SSL通信における暗号化は 「ブラウザが"信頼できる"CAのルート証明書を持っていること」 「CAの署名(秘密鍵)が秘密であること」 「サーバは秘密鍵を秘密にしていること」 という点を前提として機能するものです。 しかし、Lenovo製PCではSuperfishによってブラウザは"信頼してはいけない"CAを誤って信頼してしまい暗号を解除しているので、これではSSL通信の安全性がまったく担保されていないというわけです。 Superfishの「手口」とその仕組みについては http://next2ch.net/test/read.cgi/news/1424414295/1
2: 名無しさん@Next2ch [] 2015/02/20(金) 15:59:17.78 ID:t2Jkd4Nu Superfishの「手口」とその仕組みについては、以下のサイトで非常に分かりやすく図解されています。 Superfishが危険な理由 - めもおきば http://d.hatena.ne.jp/nekoruri/20150220/superfish さらに最悪なことに、SuperfishはCAの署名(秘密鍵)をSuperfishプログラム内に保管しており、Superfishの証明書やSuperfish CAは全世界すべてで共通したものが流用されているとのこと。 つまり、Lenovo製PCのSuperfishからSuperfich CAの秘密鍵を取り出すことで、悪意ある攻撃者が攻撃し放題になるというわけです。 なお、Superfish CAの秘密鍵の取り出しに成功している例はすでに登場しています。 Errata Security: Extracting the SuperFish certificate http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html Superfishがアドウェアを超えてとんでもないセキュリティホールであることが明らかになり もはや「Lenovoが仕込んだバックドアではないのか?」という説が現れるなど、大騒動となっていることを受けて 2015年2月19日、Lenovoのピーター・ホルテンシウスCEOはWall Street Journalに対して 「Superfishをプリインストールする時点で十分な評価をしていませんでした。 しかし、現在のところSuperfishによってユーザーが被害を受けたとは考えていません」と答えています。 被害は出ていないけれども、Lenovo公式のSuperfish削除ツールを一両日中にリリースする方針であるとのことです。 また、LenovoはSuperfish問題に対して公式声明を発表。 それによると、「Superfishは2014年9月から12月の間に出荷されたWidowsノートPCにプリインストールされていたが 2015年1月にプリインストールを停止した」とのこと。 ただし、少なくとも2014年6月からSuperfishがプリインストールされていたというLenovoの公式声明とは異なる指摘もあります。 Lenovo Newsroom | LENOVO STATEMENT ON SUPERFISH http://news.lenovo.com/article_display.cfm?article_id=1929 以下ソース http://gigazine.net/news/20150220-lenovo-superfish-disaster/ http://next2ch.net/test/read.cgi/news/1424414295/2
3: 名無しさん@Next2ch [] 2022/05/09(月) 10:17:11.06 ID:rp/cXDtq 「Superfishは2014年9月から12月の間に出荷されたWidowsノートPCにプリインストールされていたが ↑ ノートPC、ラップトップだけの問題かね? http://next2ch.net/test/read.cgi/news/1424414295/3
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.038s*