<<< Információbiztonsági állásKripto tantárgyunk az AIT-n >>>

Superfish2015-02-19

A Lenovo a laptopjaihoz adott oprendszerbe előre telepített egy programot, amely plusz hirdetéseket jelenít meg a böngészőkben. Ez a program a Superfish.

Nem szép dolog kéretlen reklámokat jeleníteni meg, különösen csúnya dolog, ha ezt egy amúgy fizetős termék teszi. A Superfishről azért írok, mert PKI alapon működik.

A Superfish egy gyökértanúsítványt telepít be a Windows tanúsítványtárába, ez a gyökér ad ki tanúsítványt a felhasználó által meglátogatott weboldalak (pl. Google kereső) számára. Így a Superfish nem a beépül a böngészőbe, hanem a böngésző és a weboldal közötti forgalomba szúrja be a JavaScript hirdetéseket - a TLS csatorna man-in-the-middle támadásával. Azért tudja man-in-the-middle támadni a csatornát, mert a felhasználó "megbízik" a Superfish gyökerében. Nem is ez a nagy baj.

Az a baj, hogy a Superfish gyökere mindig ugyanazt a kulcspárt használja, a magánkulcsa pedig megtalálható a Superfishben (mert a Superfish csak így tudja aláírni a man-in-the-middle tanúsítványokat). Így bárki visszafejti a Superfish CA magánkulcsát, az létre tud hozni olyan tanúsítványt, amellyel bármely Lenovo felhasználónak megszemélyesíthet bármely weboldalt....

Itt található egy alapos leírás az ügyről.

(Volt nekem is egy Lenovo notebookom, talán az még akkor készült, amikor nem volt rajta ilyen halfajta. Nem bírta sokáig, nem szerette, hogy hol kinyitják, hol pedig becsukják, így egyre több és több darab tört le róla...)

 

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.