Εντοπίστηκαν στοιχεία που υποδηλώνουν ότι οι κυβερνοεγκληματίες μπορεί να επικαλούνται λογισμικό της Komodia,που είναι ενσωματωμένο στο Superfish για επιθέσεις.
Την περασμένη εβδομάδα, το browser add-on Superfish που είχε προεγκατασταθεί σε ορισμένα μοντέλα φορητών υπολογιστών της Lenovo πυροδότησε συζήτηση μεταξύ των ερευνητών σχετικά με την ασφάλεια, λαμβάνοντας υπόψη το γεγονός ότι προσέθετε ένα auto-signed πιστοποιητικό για την επικύρωση σε ιστοσελίδες HTTPS, με το ίδιο ιδιωτικό κλειδί RSA σε όλα τα μηχανήματα.
Το λογισμικό παρεμβάλλεται μεταξύ του client και του server και ενεργεί ως πληρεξούσιος για τα δύο μέρη, για την αποκρυπτογράφηση του traffic.
Έχοντας γνώση του Crypto κλειδιού (ο Robert Graham το εντόπισε σε τρεις ώρες), ένας εισβολέας θα μπορούσε να παρεμβληθεί στην ασφαλή επικοινωνία από το μηχάνημα του θύματος σε έναν διακομιστή.
Ερευνητές ασφαλείας από την Electronic Frontier Foundation (EFF) ανακάλυψαν περισσότερα από 1.600 περιπτώσεις όπου το λογισμικό της Komodia απέτυχε να απορρίψει μη έγκυρα πιστοποιητικά από HTTPS ιστοσελίδες.
Το πρόβλημα είναι βαθύτερο από αυτό, όμως, γιατί η Komodia υπογράφει εκ νέου ένα μη έγκυρο πιστοποιητικό (καθιστώντας το έγκυρο), αλλά αλλάζει το όνομα της ιστοσελίδας, προκειμένου να προκαλέσει μια προειδοποίηση στον web browser.
Ωστόσο, το ίδιο το πιστοποιητικό μπορεί να χρησιμοποιηθεί για την επικύρωση πολλαπλών ιστοσελίδων, προσθέτοντας το όνομα τομέα σε ένα πεδίο που ονομάζεται Subject Alternative Name.
Ο Filippo Valsorda του Cloudflare διαπίστωσε ότι η Komodia αφήνει αυτή την πληροφορία άθικτη. Αυτό σημαίνει ότι το πιστοποιητικό είναι έγκυρο για τα άλλα domains και το πρόγραμμα περιήγησης εκδίδει μια ειδοποίηση μόνο στην περίπτωση της κύριας.
Οι Joseph Bonneau και Jeremy Gillula από το EFF ανέφεραν σε ένα blog post την Τετάρτη ότι τα δεδομένα από Decentralized SSL Observatory αποκάλυψan υψηλού προφίλ domains που επηρεάζονται όπως το Google, το Yahoo, το Amazon, το Bing, το eBay, το Twitter, το Netflix, το GPG4Win.org, πολλές τραπεζικές ιστοσελίδες και η ιστοσελίδα του Mozilla Add-Ons.
“Είναι πιθανό ότι το λογισμικό της Komodia να επέτρεψε πραγματικές επιθέσεις MitM που έδωσε στους επιτιθέμενους πρόσβαση στο ηλεκτρονικό ταχυδρομείο των χρηστών, στο ιστορικό αναζήτησης, σε λογαριασμούς κοινωνικών μέσων μαζικής ενημέρωσης, σε λογαριασμούς e-commerce, σε τραπεζικούς λογαριασμούς, ακόμη και τη δυνατότητα να εγκαταστήσουν κακόβουλο λογισμικό που μπορεί να παραβιάσει το πρόγραμμα περιήγησης ενός χρήστη ή να διαβάσει τα κλειδιά κρυπτογράφησης τους”, οι ερευνητές πρόσθεσαν.
Η Komodia παρέχει άδειες χρήσης λογισμικού της, με το SSL Digestor και το έχει συμπεριλάβει σε περισσότερα κομμάτια του λογισμικού, πέρα από το Superfish, το οποίο χρησιμοποιείται για την τοποθέτηση διαφημίσεων σε ιστοσελίδες. Επίσης, χρησιμοποιείται σε εφαρμογές γονικού ελέγχου όπως τα Qustodio, Kurupira WebFilter ή το Keep My Family Secure της Komodia.
