联想“插件门”的幕后真凶原来是它

业界
2015
02/24
23:06
分享
评论

上周,联想集团成为科技新闻的主角,因为其新出厂电脑中被发现了一款名为Superfish的恶意软件,可以修改或者伪造数字证书,威胁用户信息安全。近日, 安全业界人士已经发现了这一事件的另外一个真凶 一家名为Komodia的公司,该公司的网站日前已经被黑客攻破。

Superfish能够伪造数字证书,获取某一台电脑加密发出的安全信息,比如口令或者银行账户信息,这将威胁用户安全。该软件的攻击方式被称为中间人攻击,其可以拦截电脑和外界通信的部分信息。

许多的互联网网站采用了数字证书技术,相当于网站的一个身份证,借此证明自己的真实身份。但是Superfish绕过了这套安全机制,它使用了伪造的数字证书,让电脑用户将某个李鬼网站认为是真实的李逵网站。

这个伪造的数字证书来自何处? 据悉来自一家名为Komodia的公司,这家公司目前已经对科技媒体作出证实。

最近,许多安全业界人士对Komodia公司的所作所为进行了调查,发现其安全漏洞还涉及了许多公司产品,安全风险要比预想的大得多。

Komodia公司提供某种软件工具,可以制造伪造的数字证书,据称目前拥有一百多家企业用户,其中包括不少的财富五百强企业。

这家公司在营销材料中自称,可以通过十分简单的用户界面,让用户拦截网站通信数据和互联网应用信息。在该公司的网站上,其将一款软件开发包公开称之为 SSL劫持者 (SSL是互联网上最广为使用的加密协议)。

据称,该公司的技术也被用于一些合法使用的软件,比如家长控制孩子访问权限的软件,以及匿名上网工具等等。

据安全公司Errata的首席执行官格拉汉姆(Rob Graham)研究发现,在提供虚假数字证书时,厂商应该向每一台电脑提供一个独立的用户密码,这样黑客要攻击这些电脑存在问题,因为要破解无数个密码。

格拉哈姆指出,Komodia公司的问题,是其所有的证书软件都采用了一个统一的密码,即公司名字 komodia 。格拉汉姆表示,他只用了三个小时,就破解了密码。

另外一个安全业界人士罗杰斯(Marc Rogers)近日也发表文章称, Komodia公司在许多的安全产品中也采用了同一个架构,这意味着虚假数字证书和单一密码的威胁,不仅仅局限于联想集团的电脑,所有曾经使用过Komodia公司产品的用户,都需要检查电脑是否存在安全风险。

这意味着Komodia公司带来的安全风险,要比预想的大得多。到底有多少个人电脑存在Komodia公司的技术和产品?以及有多少黑客已经盯住了这些 猎物 ,这仍不得而知。

在Komodia公司和Supuerfish事件的关系被曝光之后,该公司的网站已经瘫痪,可能遭到了拒绝服务攻击。

目前,一些安全人士已经开始给用户提供帮助,比如安全公司Cloudflare的工程师Filippo Valsorda已经制作了一个网页,用户可以检查是否有来自Komodia公司的产品在电脑上拦截信息。

THE END
广告、内容合作请点击这里 寻求合作
真凶 插件
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表电商之家的观点和立场。

相关热点

品牌所有人的其他品牌如有被处罚或清退历史记录的,淘宝网有权拒绝其入驻。
业界
声明指出,IT时代周刊和其下属IT商业新闻网,长期以新闻报道为名,对阿里巴巴进行高频次的舆论胁迫,直接或暗示要求保持密切“业务关系”。其下属网站经营人员多次直接和阿里巴巴接触,提出不当诉求。
业界
2017年12月31日,北京证监局对贾跃亭的“最后通牒”日期,等来的却是其妻子甘薇。当天清晨,甘薇发布微博,写道“2017最后一天,使命归来。2018新年伊始,任重道远……”。
业界
随着互联网的发展、微信的横空出世,一些通过微信平台从事商务活动的群体,逐渐发展成为新的行业——微商。而此次公布的电子商务法草案二审稿并未将微商纳入到
业界
2020年4月27日,创维召开了主题为 我是Swaiot,跟我来 的新品发布会,正式发布了专业级8K摄像机 LIFErecorder。新机采用了专业级8K CMOS影像传感器,支持8K HDR(HLG与杜比视界)高动
业界

相关推荐

1
3