ช่องโหว่ของ Superfish นอกจากประเด็นการดักฟังแล้ว ยังมีปัญหาการใช้กุญแจ CA เหมือนกันทุกเครื่องและระบบตรวจสอบใบรับรองมีบั๊กทำใ ห้เซิร์ฟเวอร์ภายนอกหลอกได้โดยง่าย ตอนนี้บั๊กคล้ายกันถูกพบใน PrivDog ซอฟต์แวร์สแกนความปลอดภัยเว็บจาก Comodo
PrivDog จะสร้าง CA ใหม่ทุกครั้งที่ติดตั้งและจะดักฟังแบบเดียวกับ Superfish จากนั้นจึงแทนที่โฆษณาบนเว็บด้วยโฆษณาจากบริษัทโฆษณา ที่ชื่อว่า Adtrustmedia
แม้จะสร้าง CA ขึ้นใหม่ในทุกเครื่องแต่ PrivDog รุ่น 3.0.96.0 และ 3.0.97.0 กลับไม่ตรวจสอบใบรับรองแบบ self-signed ทำให้เซิร์ฟเวอร์ที่มุ่งร้ายสามารถปลอมเว็บได้โดยที่ เบราว์เซอร์ไม่รับรู้ด้วย
PrivDog ยอมรับปัญหานี้ และออกคำเตือนเป็นอันตรายระดับต่ำ โดยระบุว่ามีผู้ได้รับผลกระทบไม่เกิน 57,568 คน และตอนนี้ทาง PrivDog ได้ออกอัพเดตแล้ว
นอกจาก PrivDog แล้ว ชุดพัฒนาของ Komodia ที่ใช้อยู่ใน Superfish ก็มีใช้งานในโปรแกรมจำนวนมาก เช่น โปรแกรมควบคุมการใช้งานสำหรับผู้ปกครอง, โปรแกรมโฆษณาอื่นๆ, โปรแกรมรักษาความปลอดภัย Lavasoft
ที่มา - PC World
SSL,HTTPS, Security, Superfish




อ่านต่อ...