Cảnh báo adware Superfish trên máy tính Lenovo
Hệ thống ảnh hưởng Máy tính của khách hàng có cài đặt Superfish VisualDiscovery. Tổng quan Superfish adware được cài đặt trên một số máy tính Lenovo với chứng chỉ bảo mật đáng tin cậy có thể cho phép tin tặc có thể tác động vào kết nối an toàn HTTPS. Mô tả Bắt đầu từ tháng 9 năm 2014. ...
Hệ thống ảnh hưởng
Máy tính của khách hàng có cài đặt Superfish VisualDiscovery.
Tổng quan
Superfish adware được cài đặt trên một số máy tính Lenovo với chứng chỉ bảo mật đáng tin cậy có thể cho phép tin tặc có thể tác động vào kết nối an toàn HTTPS.
Mô tả
Bắt đầu từ tháng 9 năm 2014. Một số dòng máy của Lenovo đã được cài đặt trước Superfish VisualDiscovery spyware. Phần mềm này can thiệp vào lưu lượng web nhằm mục đích quảng cáo. Để can thiệp vào kết nối mã hóa (HTTPS), phần mềm này cài đặt một chứng chỉ tin cậy. Tất cả lưu lượng mã hóa của trình duyệt kết nối đến Internet đều bị can thiệp, giải mã và khi đến trình duyệt của người dùng sẽ được mã hóa lại – đây là dạng tấn công man-in-the-middle điển hình. Superfish được kí bởi chứng chỉ đáng tin cậy nên trình duyệt sẽ không hiển thị cảnh báo lưu lượng bị ảnh hưởng. Do khóa bí mật dễ dàng được khôi phục lại bởi Superfish, tin tặc sẽ có thể tạo ra một chứng chỉ dành cho bất kì trang web nào. Điều này đồng nghĩa với việc những trang web như ngân hàng và email có thể bị lừa đảo mà không hề nhận được cảnh báo từ trình duyệt.
Mặc dù Lenovo đã thông báo họ dừng toàn bộ việc cài đặt trước Superfish VisualDiscovery, những thiết bị tồn tại phần mềm này vẫn phải đối mặt với nguy hiểm đến khi Lenovo có hành động thích hợp. Để phát hiện một hệ thống được cài đặt Superfish hay không, hãy tìm một request HTTP GET đến superfish.aistcdn.com
Request đầy đủ trông như sau:
http://superfish.aistcdn.com/set.php?ID=[GUID]&Action=[ACTION]
[ACTION] thay thế cho 1, 2 hoặc 3. 1 và 2 được gửi khi máy tính được bật. 3 được gửi khi máy tính tắt.
Superfish sử dụng lỗ hổng trong thư viện giải mã SSL của Komodia. Những ứng dụng khác sử dụng chung thư viện này cũng có thể bị ảnh hưởng tương tự. Tìm hiểu thêm tại CERT Vulnerability Note VU#529496.
Ảnh hưởng
Những thiết bị có Superfish VisualDiscovery sẽ bị ảnh hưởng bởi các cuộc tấn công lừa đảo SSL mà không nhận được cảnh báo từ trình duyệt.
Giải pháp
Gỡ bỏ Superfish VisualDiscovery. Lenovo đã cung cấp một công cụ gỡ bỏ Superfish và loại bỏ tất cả các chứng chỉ liên quan. Microsoft cũng cung cấp hướng dẫn xóa và quản lí chứng chỉ trong Windows. Trong trường hợp của Superfish VisualDiscovery, chứng chỉ cần xóa có tên “Superfish, Inc.”
us-cert