Många säkerhetsföretag erbjuder nu upptäckt rutiner för Super browser add-on i de produkter de erbjuder. Detta blev verklighet efter upptäckten att detta tillägg är beroende av ett självsignerat rotcertifikat för att avlyssna krypterad trafik och få tillgång till information som är känslig.
Under perioden mellan september och december 2014, den Super browser add-on kom förinstallerat på många Lenovo bärbara datorer. Det faktum skapat en ganska surr när forskarna upptäckte att beteendet hos add-on.
Den Super browser add-on och dess beteende
Tilläggssuper har utformats för att presentera annonser på webbsidor som nås av användare i syfte att hjälpa dem att hitta alternativa och billigare produkter de som de sökt på nätet. Tillägget uppnår det genom att köra en bild som matchar algoritmen på mer än 70 000 butiker finns på nätet.
Hur är det gjort? Den Super add-on installerar en transparent proxy (även känd som man-in-the-middle), som är baserad på SSL rötkammaren motorn genom Komodia. Att motorn installerar ett rotcertifikat i Windows Store som är självgenererad och sedan åter tecken alla HTTPS platser certifikat on-the-fly. Webbplatsen för Komodia är för närvarande offline tack vare seriös uppmärksamhet bildar media.
Detta upplägg ger tredje part tillgång till information som ska krypteras i första hand mellan servern och klienten. Något som är ännu mer slående är att är RSA-nyckel för kryptering av certifikatet är sprucken, kommunikationen mellan Superfish användare kan avslöjas och det säkra trafikutbyte kan ses.
I torsdags VD för Errata Security, Robert Graham, lyckats knäcka lösenordet för den krypterade privata nyckeln för certifikatet. Snart, Han lyckades också hitta lösenord samt.
Ringer för Super flera antivirusprodukter
Tills alldeles nyligen, Superaccepterades som en potentiellt oönskade program endast som ställdes in på datorerna hos användarna tillsammans med installationen av vissa fria program. I själva verket fanns det självstudier online om hur man tar bort den webbläsaren komponent; men det stannade oupptäckt av de flesta säkerhetsprodukter.
Även i dag detekteringshastigheten är låg, även om säkerhetslösningar nu utlöser varningar när de hittar Super. Den populära antivirusprodukter såsom Avira, Symantec och Trend Micro utfärda en varning om att add-on, som bygger på genom rykte eller heuristiska motorer eller baseras på en signatur.
Den säkerhetsbulletinen informerar vidare att borttagning program är inte tillräckligt för att minska risken, eftersom användarna måste också avinstallera rotcertifikatet. Microsoft ger information om hur man gör det i certifikatarkivet för Windows. Samma sak gjort min Mozilla för sin Thunderbird e-postklient och dess Firefox webbläsare.