Lenovo se Superfish reklameware het relatief maklik gekraak en gebruikers aan aanvalle blootgestel

Hierdie storie word net erger vir Lenovo. Nadat hulle uitgeroep is vir die invoeging van bykomende advertensies in die gebruiker se blaai-ervaring en beweer het dat hulle die aanstootlike sagteware gedeaktiveer en opgehou het om die aanstootlike sagteware te installeer, het Lenovo se "Superfish" reklameware gesien dat sy sertifikaat deur sekuriteitsnavorsers gekraak is. Die ergste is dat dit blykbaar maklik was om die toepassing se sekuriteit te breek. Die eindresultaat is dat Lenovo-rekenaargebruikers – en daar is potensieel honderdduisende van hulle – kan sien dat hul rekenaars onnodig aan aanvalle blootgestel word.

Per rekenaarsekuriteitsnavorser Rob Graham:

"Ek het die sertifikaat uit die SuperFish reklameware onttrek en die wagwoord ("komodia") wat dit geënkripteer het, gekraak. [

Die gevolg is dat ek die geënkripteerde kommunikasie van SuperFish se slagoffers (mense met Lenovo-skootrekenaars) kan onderskep terwyl ek naby hulle by 'n kafee-wifi-hotspot kuier."

Kom meer te wete oor wanware en antivirus vir Windows

Die ergste is dat die sertifikaat gekraak is deur 'n aanval van 'n deurlopende woordeboek, wat deur woorde in die woordeboek geloop het totdat toegang verleen is. En so, binne 10 sekondes, was Graham in en kon hy "man-in-the-middle" verkeersonderskeppingsaanvalle op enige geaffekteerde Lenovo-gebruiker uitvoer met Superfish geïnstalleer.

VPN-aanbiedings: Lewenslange lisensie vir $ 16, maandelikse planne teen $ 1 en meer

Wat skrikwekkend aan hierdie soort aanval is, is dat dit toegang bied tot jou uitgaande en inkomende data. Die aanvaller kan dit eenvoudig opneem, of kan dit wat jy aflaai of oplaai eintlik onderskep en verander, alles sonder jou medewete.

Bron: Errata Security; Via: The Verge

Laat Jou Kommentaar

Please enter your comment!
Please enter your name here