从 SuperFish 中挖出 CA 的私钥和密码( komodia),联想给黑产送上新年大礼

2015-02-20 03:36:29 +08:00
 9hills

http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html

Chrome已经在讨论在直接revoke这个CA了

关于破解密码的那部分,可以不用暴力破解而是memory dump的方法去看。。不过谁想到竟然是简单单词,哎简直就是猪队友。

3372 次点击
所在节点    分享发现
9 条回复
vzch
2015-02-20 03:42:46 +08:00
https://forums.lenovo.com/t5/Security-Malware/Potentially-Unwanted-Program-Superfish-VisualDiscovery/m-p/1860408/highlight/true#M1697
vzch
2015-02-20 03:44:25 +08:00
默默的看了下时间,都是夜行生物
9hills
2015-02-20 03:45:49 +08:00
恩,这个CA是Superfish插进系统的ROOT CA,可签发一切网站的证书
9hills
2015-02-20 03:54:10 +08:00
补充下,看帖没认真。这个博客的作者很机智,他想到这个密码应该也在Memory Dump出来的文件中,然后用Dump出来的文件做字典破解的字典,10s就破了。佩服
qsun
2015-02-20 04:22:50 +08:00
关键问题是所有的装机都共享同一个证书,而没有每次安装生成不同的证书。

所有Antivirus软件如果要做HTTPS扫描的话,必须要MITM。但是靠谱的软件会每次安装的时候生成不同的证书,这样没有办法MITM别的机器,比如AVG,每个安装都会生成不同的证书。
9999999999999999
2015-02-20 13:57:17 +08:00
还好都重装
kxmp
2015-02-20 16:38:27 +08:00
ca里面放私钥真是个大笑话..
kcworms
2015-02-20 19:51:48 +08:00
所以是广告软件(联想自家制?)用了komodia公司的烂技术让这家公司自爆了?
benjiam
2015-02-22 09:49:51 +08:00
关于这个ca 理论我不太懂,我想问普通电脑里没有预先植入这个ca 公钥吧,所以对于其他人是没有安全问题的。但是装了这个软件的人,则可能被中间人攻击! 任何网站都可能被攻击,是这个意思吧。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/171859

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX