Beaucoup de sociétés de sécurité sont maintenant des routines de détection pour le navigateur Superfish add-on dans les produits qu'ils proposent. Ce est devenu une réalité après la découverte que cet add-on se appuie sur un certificat racine auto-signé pour intercepter le trafic crypté et avoir accès à l'information qui est sensible.
Dans la période entre Septembre et Décembre 2014, le navigateur Superfish add-on est venu préchargé sur de nombreux ordinateurs portables Lenovo. Ce fait a créé tout un buzz une fois que les chercheurs ont découvert que le comportement de l'add-on.
Le navigateur Superfish add-on et son comportement
L'add-on Superfish a été conçu pour présenter des publicités sur les pages Web qui sont accessibles par les utilisateurs afin de les aider à trouver des produits de substitution moins chers et de ceux qu'ils ont cherché en ligne. L'add-on réalise que par l'exécution d'une image qui est correspondant à l'algorithme sur plus de 70 000 magasins trouvé en ligne.
Comment cela se fait? Le Superfish add-on installe un service de proxy transparent (aussi connu comme l'homme-milieu-du-), qui est basé sur le moteur par SSL Digestor Komödia. Ce moteur installe un certificat racine en magasin Windows qui est auto-produite et puis re-signe tous les sites HTTPS certificats sur la volée. Le site web de Komödia est actuellement déconnecté grâce à l'attention sérieuse former les médias.
Cette configuration fournit des tiers ayant accès à l'information qui doit être chiffré à la première place entre le serveur et le client. Quelque chose qui est encore plus frappant, ce est que est la clé RSA pour le cryptage du certificat est fissuré, la communication entre les utilisateurs Superfish peut être révélée et l'échange de trafic peut être vu sécurisé.
Jeudi dernier, le PDG de Errata Security, Robert Graham, réussi à craquer le mot de passe pour la clé privée cryptée du certificat. Bientôt, il a également réussi à trouver le mot de passe ainsi.
Alerte pour Superfish par plusieurs produits antivirus
Jusqu'à tout récemment, Superfish a été accepté comme un programme potentiellement indésirable seulement qui a été mis sur les ordinateurs des utilisateurs ainsi que l'installation de certaines applications gratuites. En fait, il y avait des tutoriels en ligne sur la façon de supprimer ce composant du navigateur; cependant il est resté non détectée par la plupart des produits de sécurité.
Même aujourd'hui, le taux de détection est faible, même si les solutions de sécurité sont maintenant déclenchent des alertes quand ils trouvent Superfish. Les produits antivirus populaires tels que Avira, Symantec et Trend Micro émettre un avertissement concernant cette add-on, qui est basé sur le biais des moteurs de réputation ou heuristiques ou basée sur une signature.
Ce bulletin informe en outre que l'élimination du programme ne est pas suffisant pour réduire le risque, puisque les utilisateurs doivent également désinstaller le certificat racine. Microsoft fournit des informations sur la façon de le faire dans le magasin de certificats de Windows. On fait de même mon Mozilla pour son client de messagerie Thunderbird et son navigateur Firefox Web.