superfish证书被破解,联想用户面临攻击

联想的Superfish漏洞越来越严重,因为研究人员发现了一种利用预装软件打开的安全漏洞的简单方法。2014年9月至2015年1月期间销售的联想笔记本电脑上都有Superfish,不过联想表示,这款软件没有附带ThinkPad。这个漏洞因为破坏了基本的网络安全协议而受到攻击,它通过一个由第三方广告软件公司拥有的受密码保护的证书颁发机构来路由所有的加密。任何拥有解锁证书颁发机构的密码的人都可以完全绕...

联想的Superfish漏洞越来越严重,因为研究人员发现了一种利用预装软件打开的安全漏洞的简单方法。2014年9月至2015年1月期间销售的联想笔记本电脑上都有Superfish,不过联想表示,这款软件没有附带ThinkPad。这个漏洞因为破坏了基本的网络安全协议而受到攻击,它通过一个由第三方广告软件公司拥有的受密码保护的证书颁发机构来路由所有的加密。任何拥有解锁证书颁发机构的密码的人都可以完全绕过计算机的网络加密。

007Ys3FFgy1gq00304ciwj31ko11uqic

今天早上,研究人员发现并发布了该密码,将一个安全漏洞转化为攻击的主动向量。根据Errata Security的Robert David Graham的帖子,密码存储在Superfish软件的活动内存中,提取起来很简单。

密码很容易提取

被破解的证书使联想用户面临中间人攻击,类似于Heartbleed的攻击。有了这个密码和正确的软件,咖啡店老板就有可能监视她网络上的任何联想用户,收**话期间输入的任何密码。邪恶的咖啡师还可以随意在数据流中**恶意软件,伪装成软件更新或可信网站。

更糟糕的是,这个问题没有明确的解决办法。软件可以卸载(这里有说明),但这并不能完全解决问题。Superfish将所有受感染的计算机设置为通过Superfish的证书颁发机构运行web加密,该机构现在可以通过发布的密码轻松解锁-但简单地卸载软件不会从您的受信任设置中删除证书。您可以在软件退出后手动删除它,或者更小心地完全重新安装操作系统。这项测试将显示你的电脑是否受到影响,由研究员菲利波·瓦尔索达提供。

同时,任何受此漏洞影响的人都应该尽可能避免使用公共Wi-Fi网络,或者通过受保护的VPN进行连接。在今天早些时候的一份声明中,联想表示,该公司已经“彻底调查了这项技术,(没有)找到任何证据证实安全问题。”

2月19日下午1:39:更新,包括更全面的指示删除错误。

  • 发表于 2021-04-29 02:04
  • 阅读 ( 122 )
  • 分类:互联网

你可能感兴趣的文章

工作场所中的证书泄露和内部威胁风险

当涉及到可行的数据安全时,泄露的凭据和内部威胁会导致灾难。资源的缺乏、从传统基础设施到基于云的模型的快速转变,以及大量无法管理的IT帐户的涌入,都是造成当今工作场所日益增长的数据威胁的原因。 ...

  • 发布于 2021-03-27 04:16
  • 阅读 ( 156 )

什么是中间人攻击?

... 在我们的示例中,您会遇到一个证书错误,通知您银行的网站没有适当的加密证书。这会提醒您银行网站的配置有问题,并且正在进行MITM攻击。 ...

  • 发布于 2021-03-28 23:35
  • 阅读 ( 223 )

保护nas的6件事

...强制NAS始终使用HTTPS连接。 但是,您需要先在NAS上安装SSL证书,这可能是一个非常好的过程。首先,您需要一个域名来将SSL证书链接到,然后将NAS的IP地址链接到域名。 相关:如何使用QuickConnect远程访问您的Synology NAS 您还需要...

  • 发布于 2021-04-06 08:58
  • 阅读 ( 157 )

如何在windows pc上检查危险的、类似superfish的证书

危险的根证书是一个严重的问题。从联想的Superfish到戴尔的eDellRoot以及广告软件程序安装的许多其他证书,您的计算机的**商或您安装的程序可能添加了一个使您易于攻击的证书。下面是如何检查你的证书是否干净。 在过去,...

  • 发布于 2021-04-10 01:11
  • 阅读 ( 144 )

下载.com还有一些人捆绑了超时尚的https广告软件

...个可怕的时间成为一个Windows用户。联想正在捆绑HTTPS劫持Superfish广告软件,Comodo附带了一个更糟糕的安全漏洞PrivDog,还有许多其他应用程序,如LavaSoft也在做同样的事情。这真的很糟糕,但如果你想你的加密网络会话被劫持,只...

  • 发布于 2021-04-11 00:08
  • 阅读 ( 149 )

购买windows pc的唯一安全的地方是微软商店

联想已经在他们的个人电脑上发布Superfish好几个月了。这是一场安全灾难,它表明PC**商实际上很少关心您的PC安全。只有一种方法可以确保你的新电脑使用安全。 超级鱼只是冰山一角。个人电脑**商在他们的新个人电脑上安装...

  • 发布于 2021-04-11 00:12
  • 阅读 ( 137 )

5 web上https和ssl安全的严重问题

...情况下,受损的HTTPS连接也只会像HTTP连接一样不安全。 证书颁发机构的绝对数量 相关:什么是HTTPS,我为什么要关心? 您的浏览器具有内置的可信证书颁发机构列表。浏览器只信任这些证书颁发机构颁发的证书。如果你来https...

  • 发布于 2021-04-11 11:29
  • 阅读 ( 127 )

网络安全:了解黑客、网络钓鱼者和网络罪犯

...会。 如果你最终进入了一个网站,你通常可以通过检查证书或查看网址来辨别它是谁。(上面的Paypal是正版的。美国国税局,在这一部分的领导,是欺诈。) 看看这个网址。看来国税局不太可能把网站停在这样的网址上。 ...

  • 发布于 2021-04-12 18:56
  • 阅读 ( 168 )

skype黑客暴露了你的全球和本地ip地址

...的SkypeKit副本允许黑客绕过Skype通常用来验证应用程序的证书认证,基本上绕过了添加联系人过程中的任何安全性。 一个展示黑客行为的脚本已经上传到GitHub,它的创建者也**了一个概念验证网站。只需输入目标的Skype...

  • 发布于 2021-04-22 04:14
  • 阅读 ( 140 )

snapchat的非官方api是否太容易被破解?

...庭网络的所有流量),并在我的设备上安装了一个自定义证书(由Charles创建)。该证书再次对通过我的设备的所有“安全”https流量进行签名,从而允许Charles(在我的PC上)监视加密的流量并查看其中的情况。
 然后,我像往...

  • 发布于 2021-04-27 15:27
  • 阅读 ( 174 )
fflzvs7091
fflzvs7091

0 篇文章

相关推荐