【悲報】Superfish複数の重大な脆弱性のあるSSL接続も提供してたことが判明
Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか? - GIGAZINE
VisualDiscovery | SimilarProducts - Monetize Visually
Superfish - Visual Search and Image Recognition | ABOUT US
巷では Superfishが話題になってるようなのですが、皆さんおなかいっぱいだと思うので、別の視点から切り込んでみました。
取り敢えず調査のため、SuperfishをPCにインストールしてみようと思ったんだけど、 Windows 8専用だった。
しかたないのでWin8の仮想環境
証明書、ほんとに自己証明だった(笑)
ドライバ入ってるんだけど、こっちの証明書どうなってるんだよ!
っておもったら、こっちは Thawte Code Signing をSymantecの副証明書でちゃんとやってた。
フォルダ構成見ると、思いっきり Firefox のそれですね。
自分のところのアプリはしっかり更新してるのに、nss3.dllの日付が妙に古い
確認してみたら、 3.13.6.0
「NSS」ライブラリに脆弱性、「Firefox」「Thunderbird」「Google Chrome」が更新 - 窓の杜
NSS 3.16.4 以下が影響を受ける脆弱性 CVE-2014-1568
JVNDB-2013-005157 - JVN iPedia - 脆弱性対策情報データベース
NSS 3.15.3 以下が受けるオーバーフローの脆弱性
最近だと POODLE v3.0の影響もうけるわけで、修正すべきは SSLライブラリだったのですが…。
要するに、OSやブラウザ側でSSLのセキュリティーアップデートをしても、2年近く前の、Firefox の既存の脆弱性があるバージョンでSSL接続しに行ってるので、全く意味がなくなっていたという。
通信の傍受してただけじゃなく、パソコンに新しい脆弱性も埋め込んでたってのはもう冗談じゃなくなっていますね(笑)
おまけ:
Lenovo Newsroom | LENOVO STATEMENT ON SUPERFISH
Lenovo の英語サイトの発表
Superfishに関するレノボの見解
Lenovo Japanが公開してる英語の和訳
Superfish Vulnerability - Lenovo Support (US)
Lenovo 英語のセキュリティアドバイザリ
Superfishの脆弱性 - Lenovo Support (JP)
レノボジャパン セキュリティ アドバイザリ
Lenovo CTO: We’re Working to Wipe Superfish App Off of PCs - Digits - WSJ
WSJのニュース記事英語版はこちら
レノボ、ノートPCからアドウェア消去に奔走 - WSJ
日本語版…後ろのLenovo CTOへのインタビューがすっぽり抜けてる。
後ろが面白いのに…。
| こちらは 編集されたインタビューの抜粋です。
WSJ: あなた方はSUPERFISHアプリでLenovoのノートPCを買った人のセキュリティを確保するために今何をしているのですか? ホルテンシウス: もうすぐ、我々が提供する予定である、皆さんのノートパソコンから単にアプリケーションをアンインストールするだけでなく、深く切り込んでアプリケーションの追跡情報をすべて削除するツールのプログラミングが終わります。我々は、アプリ削除ソフトが今夜か明日には完成し、それを手に入れるための情報をプレスリリースで発表する予定です。 WSJ: セキュリティ研究者達がこのSUPERFISHソフトウェアの潜在的な危険性について言述べているのと、御社がこのアプリのセキュリティ上のリスクを提示しないと述べたことについて、大きな格差があるようですが? ホルテンシウス: 我々は、セキュリティ研究者共と議論するつもりはない。彼らは理論上の懸念を扱っているのに対して、我々は何か非常に悪いことが発生するかもしれないということを洞察することはできません。しかし、我々がシステム上でやりたかったことではなく、より多くのことを実現するために必要なことだったということになら同意できます。 WSJ: Lenovoのプレインストールソフトウェアが安全かどうか確認するための適切な調査をあなた方が行うのですか? ホルテンシウス: はい、私たちが行います。実を言うと、今回は十分な調査がなされていませんでした。このツールの意図は私達のユーザーのショッピング体験を強化することでした。ユーザーからのフィードバックでそれが有用ではないというが、我々がサービスを打ち切った理由です。我々は評価がすべてであり、我々の製品は最終的にどう我々が評価されるかなのだ。 WSJ: レノボコンピューターにソフトをプリインストールするのを単にやめれば、最良の予防ツールになるんじゃないですか? ホルテンシウス: 一般的に我々はどんなソフトがプリインストールされていればよいかというフィードバックを得る。 我々が今後数週間でやろうとしてることは深く掘り下げ、どうやれば、消費者のコンピューターに何かソフトをインストールすることによって、環境を改善することができるかを業界の専門家などに働きかけることだ。 その結果、ユーザーのマシンでどんなソフトウェアをなぜ動かすのかを明確にすることができるのだ。 |
反省してないwwww!
Translate
だって「Lenovo」さんだからね!
(情報漏洩もだけど、不良動作が多いのに、買う人がまだ居た事に驚きです!
S(今はもう無い)製品と同じ位の精度ですよね。)
年1度は必ず情報漏洩問題が発覚!
↓
問題になるころにはシコタマ収集済み
↓
悪い事ではないので問題ではない
↓
我々に非はないので反省しない
↓
反省が無いので繰り返す
↓
バレタカラ手法を変える
↓
エンドレス
これ企業として一番ダメなのが自己証明入れてやっちゃっててる所ですよね
こんなんされたら信頼も証明も何もあったもんじゃないのに
中華の技術者はそういうことに心痛まないんだろうか
Lenovo、IBMのx86サーバー事業の買収を完了へ
助けてっ!
/.でもCTOのインタビュー記事は話題になってるようですが、
>We’re not trying to get into an argument with the security guys.
には解釈の仕方が少なくとも二通りはあるみたいですね。
私は「おまえらと議論するつもりはない」と捉えましたが、隣に座ってるオーストラリア人に言わせると「議論の余地なく問題」との意味だと言っています。
どっちにしろそれに続くセンテンスがネガティブ全開なのでどーしようもない、ということに変わりはありませんが。
http://eikaiwa-phrase.com/2200.html
こちらのサイトを見ると not try to get ~は直訳は 「~については考えていない」
ですが、ちょっとけんか腰の強い言い方で使うようなことがかいてあります。
“mans” (男の人たち) ではなく “guys”(やつら) を使ってる辺りも考慮すると
要するに、「セキュリティ関係者共の余計なお世話だろ?」みたいなニュアンスになると思います