聯想「插件門」的幕後真兇原來是它

2025-05-06 18:49:24

    泡泡網主板頻道2月25日 上周，聯想集團成為科技新聞的主角，因為其新出廠電腦中被發現了一款名為Superfish的惡意軟體，可以修改或者偽造數字證書，威脅用戶信息安全。近日，安全業界人士已經發現了這一事件的另外一個真兇——一家名為Komodia的公司，該公司的網站日前已經被黑客攻破。

    Superfish能夠偽造數字證書，獲取某一臺電腦加密發出的安全信息，比如口令或者銀行帳戶信息，這將威脅用戶安全。該軟體的攻擊方式被稱為中間人攻擊，其可以攔截電腦和外界通信的部分信息。

    許多的網際網路網站採用了數字證書技術，相當於網站的一個身份證，藉此證明自己的真實身份。但是Superfish繞過了這套安全機制，它使用了偽造的數字證書，讓電腦用戶將某個李鬼網站認為是真實的李逵網站。

    這個偽造的數字證書來自何處？ 據悉來自一家名為Komodia的公司，這家公司目前已經對科技媒體作出證實。

    最近，許多安全業界人士對Komodia公司的所作所為進行了調查，發現其安全漏洞還涉及了許多公司產品，安全風險要比預想的大得多。

    Komodia公司提供某種軟體工具，可以製造偽造的數字證書，據稱目前擁有一百多家企業用戶，其中包括不少的財富五百強企業。

    這家公司在營銷材料中自稱，可以通過十分簡單的用戶界面，讓用戶攔截網站通信數據和網際網路應用信息。在該公司的網站上，其將一款軟體開發包公開稱之為「SSL劫持者」（SSL是網際網路上最廣為使用的加密協議）。

    據稱，該公司的技術也被用於一些合法使用的軟體，比如家長控制孩子訪問權限的軟體，以及匿名上網工具等等。

    據安全公司Errata的執行長格拉漢姆（Rob Graham）研究發現，在提供虛假數字證書時，廠商應該向每一臺電腦提供一個獨立的用戶密碼，這樣黑客要攻擊這些電腦存在問題，因為要破解無數個密碼。

    格拉哈姆指出，Komodia公司的問題，是其所有的證書軟體都採用了一個統一的密碼，即公司名字「komodia」。格拉漢姆表示，他只用了三個小時，就破解了密碼。

    另外一個安全業界人士羅傑斯（Marc Rogers）近日也發表文章稱，Komodia公司在許多的安全產品中也採用了同一個架構，這意味著虛假數字證書和單一密碼的威脅，不僅僅局限於聯想集團的電腦，所有曾經使用過Komodia公司產品的用戶，都需要檢查電腦是否存在安全風險。

    這意味著Komodia公司帶來的安全風險，要比預想的大得多。到底有多少個人電腦存在Komodia公司的技術和產品？以及有多少黑客已經盯住了這些「獵物」，這仍不得而知。
在Komodia公司和Supuerfish事件的關係被曝光之後，該公司的網站已經癱瘓，可能遭到了拒絕服務攻擊。

    目前，一些安全人士已經開始給用戶提供幫助，比如安全公司Cloudflare的工程師Filippo Valsorda已經製作了一個網頁，用戶可以檢查是否有來自Komodia公司的產品在電腦上攔截信息。 ■