Эта новость сама по себе уже неприятная, но сегодня выяснилось одна деталь, которая значительно увеличивает уровень опасности для обладателей этих ноутбуков: выяснилось, что внутри программы имеется не только публичный сертификат CA, но и приватный ключ к нему, в зашифрованном виде. Подобрать пароль к этому ключу не составляет никаких проблем — «komodia»
картинка из твиттера supersat
Это означает, что любой злоумышленник, имеющий возможность совершить MitM-атаку (например в публичной Wi-Fi сети), может использовать данный сертификат для проксирования HTTPS-трафика через свой компьютер и расшифровывать его незаметно для жертвы.
Представитель Lenovo на форуме сообщает, что они прекратили поставлять данное ПО с новыми ноутбуками и ожидают обновление от разработчика, в котором такое поведение ПО будет исправлено. Уже купленные ноутбуки, по заверению представителя, получат исправленную версию ПО через механизм автоматического обновления.
Сервис для проверки наличия сертификата Superfish в хранилище ОС
Сертификат и приватный ключ Superfish в формате PEM
Статья в Forbes (не упоминает наличие приватного ключа)
Статья от Marc Rogers (не упоминает наличие приватного ключа)
Статья от Errata Security
Как получили приватный ключ и пароль
Recommended article: Chomsky: We Are All – Fill in the Blank.
This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий