Рекламное ПО Суперрыбы Lenovo есть лишь одним из «больше чем сто клиентов», которые пользуются библиотеками перехвата сетевого трафика Комодии.Lavasoft выпустил обновление восемнадцать февраля для устранения неприятности.
Тогда как Суперрыба нашла проблему, специалисты идентифицировали примерно дюжину вторых программ посредством компонентов Komodia, и компания говорит, что «больше чем сто клиентов» применяют ее наборы разработчика ПО. Любой из числа тех продуктов имел возможность подвергнуть машину пользователя риску, заявил Марк Роджерс, главный исследователь в области безопасности для компании Защиты в Интернете CloudFlare, в сообщении в блоге.
Komodia, маленькая компания IT основала в 2000, реализовывает ее сетевому технологическому редиректору перехвата и SSL Digestor-к вторых производителей ПО. ПО Komodia устанавливает сертификат корневого центра сертификации (CA) для помощи в прерывании зашифрованного трафика. Но, в силу того, что сертификат был не хорошо защищен, атакующие имели возможность легко совершить атаку «человек посередине». В таких нападениях соглядатай прерывает зашифрованный трафик и может вычислять либо поменять его.
Разработка перехвата Комодии устанавливает доверяемый корневой сертификат CA и применяет его для прерывания любых зашифрованных веб-Связей HTTPS. Суперрыба применяла эту функциональность, чтобы прервать зашифрованные HTTPS веб-страницы и разместить рекламу. Но Komodia сделал много неточностей безопасности, включая применение такого же ключа везде, ключей шифрования с разрешением и простым паролем самоподписанных сертификатов доверяться, не выявляя предупреждение браузера.
«Если бы Вы вошли в контакт с каким-либо продуктом Komodia, я проверил бы на неограниченные частные корневые сертификаты, прежде шепетильно удалить их и связанное ПО от любой совокупности, о которой Вы заботитесь», сообщил он.Корень Komodia CA был отыскан во многих продуктах, включая ПО родительского контроля, анонимизировав веб и программное обеспечение-фильтрующее ПО.
Барак Вейчселбом, соучредитель Komodia, скоро реагировал на Email, но отказался обсуждать вопросы либо неприятности исследователей в области безопасности. Обновление для ПО Сейчай тестируется, он заявил в электронном письме к eWEEK. «У нас имеется предвыпускная версия, и она тестируется нами и другими сторонами [для наблюдения], в случае если мы можем выпустить ее», сообщил он.«Не обращая внимания на то, что новый выпуск Lavasoft Осведомленного об объявлении веб-Компаньона удалил эту функциональность и, как предполагалось, не содержал SSL Digestor, было выяснено, что микроэлементы SSL Komodia, Digestor все еще находились», заявила компания.
Производитель защитного ПО Lavasoft включал ПО SSL Digestor Комодии с его Осведомленным об объявлении веб-Компаньоном в течение прошлого года как новая функция для устранения потенциального вредоносного кода и рекламных объявлений в зашифрованной сети (HTTPS) трафик. Тогда как компания отказалась включать ПО Komodia, кое-какие компоненты продукта остались в кодовой базе, заявил Lavasoft на консультации безопасности.Тогда как критики берут производителя PC Lenovo к задаче для включения рекламного ПО Суперрыбы в его потребительских совокупностях ноутбука, дефектная безопасность компонента перехвата сетевого трафика развернула центр внимания на изысканном разработчике Комодио.
Lenovo обеспечил пару исправлений и трудится для удаления ПО Superfish, которое применяет разработку Комодии. Борясь с более ранними оплошностями, Lenovo принял на себя обязательство очищать предварительно сконфигурированную установку на ноутбуках, реализованных потребителям, трудясь с специалистами и конфиденциальностью по безопасности на надлежащей конфигурации и разрешив критикам оценить ее продукты.