安全专家解读Superfish事件：始作俑者为Komodia

最近一段时间，春节期间爆发的“Superfish”事件持续发酵，这款电脑预装软件究竟具有怎样的安全风险，是什么原因让Superfish具有如此广泛的影响？记者就此采访了360互联网安全中心的安全专家，该专家称，导致Superfish引发安全风险的始作俑者是一个由Komodia公司提供的SDK（Software Development Kit，软件开发工具包），除了Superfish，或有更多软件同样中招。

Superfish不是唯一中招者 更多软件存在风险

电脑中预装的Superfish软件，会导致多数浏览器信任低校验水平的SSL证书。该软件可以生成自签名SSL数字证书，在用户不知情的情况下，截获基于SSL的加密通讯内容，甚至允许第三方拦截SSL连接。这意味着用户电脑和网站服务器之间的加密信息可被解密、篡改，而恶意黑客可以利用该漏洞向客户端电脑发起钓鱼网站攻击。安装了Superfish的电脑用户，将有可能面临隐私泄漏、被钓鱼等严重威胁。

据国外媒体报道，国外相关研究人员最近又在十几款其他应用程序中发现了相同的安全问题，儿童上网监控软件Qustodio、Kurupira、Infoweise，以及Komodia自己的KeepMyFamilySecure软件，还有电脑安全防护软件Lavasoft和Websecure都在其中。

据360安全专家介绍，问题的根源在于这些软件都使用了一个由以色列公司Komodia提供的SDK，凡使用了这个SDK的软件均存在与Superfish类似的安全风险。

漏洞已被利用来发起中间人攻击

国外研究人员表示，这个由Komodia提供的SDK存在安全漏洞，目前攻击者已经利用Superfish等软件使用的这个SDK中的漏洞，对一些访问最为敏感的且受HTTPS保护的网站终端用户发动了真实的中间人攻击。这些站点包括Gmail、Amazon、eBay、Twitter以及Gpg4Win.org等，或已导致攻击者获得访问用户邮件、搜索历史纪录、社交媒体账户、网购账户和银行账户的权限，甚至获得安装恶意软件的能力，这可能会长久攻陷用户浏览器或读取他们的加密密钥。

360安全专家对这款SDK存在的安全风险进行了分析：

1、使用该SDK的每个产品在每台机器上内置的根证书是相同的，而且证书密码都是“komodia”，这会导致SSL的中间人攻击。

2、该SDK在校验HTTPS 网站服务器发来的证书时不严谨，使得Chrome/IE不会对非法的网站证书发出警告，这将使用户面临严重的被钓鱼风险。

3、该SDK使用了过时的较弱的加密算法。

这一事件带来的教训无疑是深刻的。它提醒电脑OEM制造商需要更严格地对其预装软件的安全性进行把关，也提醒SDK开发商和软件开发商本着对用户负责的态度，更加关注软件设计的安全性。360安全专家介绍，目前360安全卫士可以帮助用户对Superfish软件及其证书进行彻底清理，360也将继续跟进事件发展，以期为用户电脑带来更好的安全防护。