联想“插件门”的幕后真凶原来是它

2015-02-23 23:53

上周，联想集团成为科技新闻的主角，因为其新出厂电脑中被发现了一款名为Superfish的恶意软件，可以修改或者伪造数字证书，威胁用户信息安全。近日，安全业界人士已经发现了这一事件的另外一个真凶——一家名为Komodia的公司，该公司的网站日前已经被黑客攻破。
Superfish能够伪造数字证书，获取某一台电脑加密发出的安全信息，比如口令或者银行账户信息，这将威胁用户安全。该软件的攻击方式被称为中间人攻击，其可以拦截电脑和外界通信的部分信息。
许多的互联网网站采用了数字证书技术，相当于网站的一个身份证，借此证明自己的真实身份。但是Superfish绕过了这套安全机制，它使用了伪造的数字证书，让电脑用户将某个李鬼网站认为是真实的李逵网站。
这个伪造的数字证书来自何处? 据悉来自一家名为Komodia的公司，这家公司目前已经对科技媒体作出证实。
最近，许多安全业界人士对Komodia公司的所作所为进行了调查，发现其安全漏洞还涉及了许多公司产品，安全风险要比预想的大得多。
Komodia公司提供某种软件工具，可以制造伪造的数字证书，据称目前拥有一百多家企业用户，其中包括不少的财富五百强企业。
这家公司在营销材料中自称，可以通过十分简单的用户界面，让用户拦截网站通信数据和互联网应用信息。在该公司的网站上，其将一款软件开发包公开称之为“SSL劫持者”(SSL是互联网上最广为使用的加密协议)。
据称，该公司的技术也被用于一些合法使用的软件，比如家长控制孩子访问权限的软件，以及匿名上网工具等等。
据安全公司Errata的首席执行官格拉汉姆(Rob Graham)研究发现，在提供虚假数字证书时，厂商应该向每一台电脑提供一个独立的用户密码，这样黑客要攻击这些电脑存在问题，因为要破解无数个密码。
格拉哈姆指出，Komodia公司的问题，是其所有的证书软件都采用了一个统一的密码，即公司名字“komodia”。格拉汉姆表示，他只用了三个小时，就破解了密码。
另外一个安全业界人士罗杰斯(Marc Rogers)近日也发表文章称， Komodia公司在许多的安全产品中也采用了同一个架构，这意味着虚假数字证书和单一密码的威胁，不仅仅局限于联想集团的电脑，所有曾经使用过Komodia公司产品的用户，都需要检

余下全部

共有评论0条