最近一段時(shí)間，春節(jié)期間爆發(fā)的“Superfish”事件持續(xù)發(fā)酵，這款電腦預(yù)裝軟件究竟具有怎樣的安全風(fēng)險(xiǎn)，是什么原因讓Superfish具有如此廣泛的影響？記者就此采訪了360互聯(lián)網(wǎng)安全中心的安全專家，該專家稱，導(dǎo)致Superfish引發(fā)安全風(fēng)險(xiǎn)的始作俑者是一個(gè)由Komodia公司提供的SDK(Software Development Kit，軟件開發(fā)工具包)，除了Superfish，或有更多軟件同樣中招。

　　Superfish不是唯一中招者 更多軟件存在風(fēng)險(xiǎn)

　　電腦中預(yù)裝的Superfish軟件，會(huì)導(dǎo)致多數(shù)瀏覽器信任低校驗(yàn)水平的SSL證書。該軟件可以生成自簽名SSL數(shù)字證書，在用戶不知情的情況下，截獲基于SSL的加密通訊內(nèi)容，甚至允許第三方攔截SSL連接。這意味著用戶電腦和網(wǎng)站服務(wù)器之間的加密信息可被解密、篡改，而惡意黑客可以利用該漏洞向客戶端電腦發(fā)起釣魚網(wǎng)站攻擊。安裝了Superfish的電腦用戶，將有可能面臨隱私泄漏、被釣魚等嚴(yán)重威脅。

　　據(jù)國(guó)外媒體報(bào)道，國(guó)外相關(guān)研究人員最近又在十幾款其他應(yīng)用程序中發(fā)現(xiàn)了相同的安全問題，兒童上網(wǎng)監(jiān)控軟件Qustodio、Kurupira、Infoweise，以及Komodia自己的KeepMyFamilySecure軟件，還有電腦安全防護(hù)軟件Lavasoft和Websecure都在其中。

　　據(jù)360安全專家介紹，問題的根源在于這些軟件都使用了一個(gè)由以色列公司Komodia提供的SDK，凡使用了這個(gè)SDK的軟件均存在與Superfish類似的安全風(fēng)險(xiǎn)。

　　漏洞已被利用來發(fā)起中間人攻擊

　　國(guó)外研究人員表示，這個(gè)由Komodia提供的SDK存在安全漏洞，目前攻擊者已經(jīng)利用Superfish等軟件使用的這個(gè)SDK中的漏洞，對(duì)一些訪問最為敏感的且受HTTPS保護(hù)的網(wǎng)站終端用戶發(fā)動(dòng)了真實(shí)的中間人攻擊。這些站點(diǎn)包括Gmail、Amazon、eBay、Twitter以及Gpg4Win.org等，或已導(dǎo)致攻擊者獲得訪問用戶郵件、搜索歷史紀(jì)錄、社交媒體賬戶、網(wǎng)購(gòu)賬戶和銀行賬戶的權(quán)限，甚至獲得安裝惡意軟件的能力，這可能會(huì)長(zhǎng)久攻陷用戶瀏覽器或讀取他們的加密密鑰。

　　360安全專家對(duì)這款SDK存在的安全風(fēng)險(xiǎn)進(jìn)行了分析：

　　1、使用該SDK的每個(gè)產(chǎn)品在每臺(tái)機(jī)器上內(nèi)置的根證書是相同的，而且證書密碼都是“komodia”，這會(huì)導(dǎo)致SSL的中間人攻擊。

　　2、該SDK在校驗(yàn)HTTPS 網(wǎng)站服務(wù)器發(fā)來的證書時(shí)不嚴(yán)謹(jǐn)，使得Chrome/IE不會(huì)對(duì)非法的網(wǎng)站證書發(fā)出警告，這將使用戶面臨嚴(yán)重的被釣魚風(fēng)險(xiǎn)。

　　3、該SDK使用了過時(shí)的較弱的加密算法。

　　這一事件帶來的教訓(xùn)無(wú)疑是深刻的。它提醒電腦OEM制造商需要更嚴(yán)格地對(duì)其預(yù)裝軟件的安全性進(jìn)行把關(guān)，也提醒SDK開發(fā)商和軟件開發(fā)商本著對(duì)用戶負(fù)責(zé)的態(tài)度，更加關(guān)注軟件設(shè)計(jì)的安全性。360安全專家介紹，目前360安全衛(wèi)士可以幫助用戶對(duì)Superfish軟件及其證書進(jìn)行徹底清理，360也將繼續(xù)跟進(jìn)事件發(fā)展，以期為用戶電腦帶來更好的安全防護(hù)。