EFF：新证据表明还存在与Superfish类似的攻击

现在看来，Superfish以及同样包含破坏HTTPS协议代码库的其他软件为互联网用户带来的危害不仅仅表现在理论上。研究人员首次发现有证据表明，这个重要缺陷可能已经针对访问真实站点的真实访客发起利用。这些站点包括Gmail、Amazon、eBay、Twitter以及Gpg4Win.org等。

上周Ars网站报道称，一些联想笔记本电脑中预装了广告注入软件Superfish（快鱼），导致多数浏览器信任欺诈SSL证书。在接下来几天的时间里，研究人员在十几家其他应用程序中发现了相同的网络威胁。所有这些威胁中都存在由以色列公司Komodia提供的一个代码库。

Komodia库通过添加一个新的根证书颁发机构证书对电脑的网络堆栈进行修改。证书及底层代码设计方式中的不良选项引发多数浏览器信任欺诈证书，而没有产生警告。这些明目张胆的欺诈证书只要满足两个条件就可以获得通过：（1）包含与合并至应用程序中可轻易提取的相同私钥，或者（2）证书的替代名称字段中包含目标网站的名称。恶意黑客会利用这一故障伪装成美国银行、谷歌或其他任何网站的安全页面。这样一来，攻击者会针对安全的HTTPS连接发动中间人攻击。

这一威胁已不再只是一个令人不安的假设了。周三，研究人员表示攻击者已经利用Superfish以及其他应用程序中的缺陷对一些访问最为敏感的且受HTTPS保护的网站终端用户发动了真实的中间人攻击。研究人员Joseph Bonneau以及Jeremy Gillula写道：

我们在Decentralized SSL Observatory（分布式SSL瞭望台）中查找了Komodia本应该拒绝的证书，但结果浏览器接受了这些证书，并且找到1600多个条目。受影响的域名包括敏感网站谷歌（包括mail.google.com、accounts.google.com以及checkout.google.com）、雅虎（包括login.yahoo.com）、Bing、Windows Live Mail、Amazon、eBay（包括checkout.payments.ebay.com）、Twitter、Netflix、Mozilla Add-Ons网站、www.gpg4win.org、几家银行站点（包括mint.com以及HSBC与Wells Gargo的域名）、几家保险网站、Decentralized SSL Observatory网站本身、甚至还有superfish.com。

尽管其中一些域名拥有合法的无效证书（由于配置错误或其他程序原因导致），但似乎并非所有的域名都是如此。因此，有可能Komodia的软件引发了真正的中间人攻击，导致攻击者获得访问人们电子邮件、搜索历史、社交账户、电子商务账户、银行账户的权限，甚至获得安装恶意软件的能力，这可能会长久攻陷用户浏览器或读取他们的加密密钥。

研究人员还表示，Privdog的一个或多个版本产生的严重缺陷甚至比Komodia软件还要多。Privdog是一款由Comodo证书颁发机构创建并营销的应用程序，它提供三分之一的互联网SSL证书。Privdog导致浏览器接受所有欺诈证书，而不管它所使用的私钥是什么或者替代名字字段中包含什么内容。

研究人员表示，Decentralized SSL Observatory从PrivDog用户收集了超过17,000个不同的证书，而且任何一种证书都有可能来自一次攻击，但遗憾的是没有办法进行确认。

过去的七天颇不平静。很难理解如此严重的漏洞为何在这么长的时间内未被检测到，并且让人失望的是，Superfish的首席执行官还未就该公司在这起安全危机中所应担负的责任予以承认。这些披露也并未变得更加容易：这一新证据表明，这些漏洞可能已被用来从应被加密的Web会话中窃取密钥、密码及电子邮件。

原文链接：http://arstechnica.com/security/2015/02/researchers-unearth-evidence-of-superfish-style-attacks-in-the-wild/