Superfish事件:自签名SSL证书惹的祸 分析

最新推荐文章于 2020-09-07 08:58:29 发布
最新推荐文章于 2020-09-07 08:58:29 发布
阅读量587 收藏
点赞数 1
分类专栏: gmssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andylau00j/article/details/76066698
版权

    个人看法,联想 使用了Superfish 自签名的根证书,,更夸张的是,根证书私钥是个简单字符串,而且存在客户端也就是说,root.crt + root.key 在用户电脑上,实现https劫持,工作原理应该类似与 Fiddler  在本机把自己的跟证书嵌入系统可信区域。

    可是根证书私钥使用了较简单内容,导致一旦被破解发现,黑客会使用联想发布的根证书+私钥,签发自己的黑客证书。

    下一步就是通过arp欺骗或者dns欺骗,使得用户访问https网站时,连接到黑客自己制作的钓鱼网站,而该钓鱼网站使用的证书,就是联想笔记本内的根证书+私钥,签发的证书。这样就能拦截用户的网络访问+账户密码信息。实现对用户的钓鱼。


    这款SuperFish插件相信是联想用来实现自己的商业目的。but使用了使用该SDK的每个产品在每台用户终端上内置根证书相同,而且证书密码都是“komodia”,这会导致SSL的中间人攻击。



  

YongApple
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数字签名和数字证书
王司徒的博客
04-20 952
数字签名和数字证书可以在文档或者邮件里面插入数字签名。此时需要一个数字ID。下面是数字ID的解释 带有相应私钥的证书也被称为数字ID 导入证书的时候,可能会提示输入生成这个证书和私钥的密码,之后导入到系统中。此时进入证书管理器里面,可以查看到证书的详细信息。如果私钥也成功导入,会在证书信息里面显示“您有一个与该证书对应的私钥“。只有拥有此标记的证书才可以用作”数字签名“。当数字证书被导入到系统了
法律意义上可靠的电子签名是如何实现的
Caption C
01-19 1389
法律意义上可靠的电子签名是如何实现的。 什么是法律意义上可靠的电子签名。 什么是PKI体系。 什么是公开密钥加密。 一份电子文件的数字签名及加密传输过程。 为什么是对Hash值加密,为什么Hash值未变,即可断定文件未被修改。 CA机构与数字证书。 表达签署人签署意愿。 基于PKI体系实现的数字签名是否法律意义上可靠的电子签名
Superfish事件:自签名SSL证书
ONE PIECE
03-11 611
春节期间爆发的“Superfish事件持续发酵,引发整个社会舆论的大哗。Superfish是一款广告应用软件,内置的算法可以帮助用户找到和发现产品,在搜索引擎中对购物进行图片分析、搜索以找到更低的价格,其实算是广告软件中比较优秀的。联想与“Superfish”合作可提升用户体验,开拓软硬件结合的获利模式,本来是一件好事,为何却酿成如此大的品牌危机?这款电脑预装软件究竟具有怎样的安全风险呢?  
公钥,私钥和数字签名这样最好理解
热门推荐
无界编程
02-10 13万+
一、公钥加密 假设一下,我找了两个数字,一个是1,一个是2。我喜欢2这个数字,就保留起来,不告诉你们(私钥),然后我告诉大家,1是我的公钥。我有一个文件,不能让别人看,我就用1加密了。别人找到了这个文件,但是他不知道2就是解密的私钥啊,所以他解不开,只有我可以用数字2,就是我的私钥,来解密。这样我就可以保护数据了。我的好朋友x用我的公钥1加密了字符a,加密后成了b,放在网上。别人偷到了这个文件,但
证书加密(二):自建CA,证书加密,双向SSL分析
Xjzzon的博客
08-05 681
证书加密(二):自建CA,证书加密,双向SSL分析 双向SSL的流程如上,综合来看,上面用到了CA根证书,client.key(客户端私钥),client.cer(客户端证书,包含公钥),server.key(服务端私钥),server.cer(服务端证书,包含公钥)。 CA根证书从何而来? 如果是权威CA机构的话,CA根证书通常是预置在浏览器或操作系统中了。如果是自建CA,利用openssl工具先生成CA私钥,再由该私钥生成CA数字证书,client.key和server.key也是先由openssl
superfishal:在受 SuperFish 感染的客户端上嗅探 SSL 流量
06-21
**SuperFish:安全威胁概述** SuperFish是一款由 Lenovo 在某些消费级笔记本电脑上预装的广告软件,旨在为用户提供购物比价服务。然而,这款软件却因为存在严重的安全漏洞而引发了广泛关注。SuperFish通过安装一个...
superfish:SuperFish的API接口
05-21
SuperFish的API接口 这是运行应用程序的后端。 它是用Go语言编写的,并且全部放在一个chat.go文件中(我知道不好的主意,但是它只有1000行,所以可以维护)。 这个应用程序是一个辅助项目,可以帮助我学习Go和...
Superfish-Removal-Tool:用于应用服务和证书的联想 Superfish 清除工具
06-23
用于应用服务和证书的联想 Superfish 清除工具 特征 卸载 Superfish 软件 从根证书存储中删除根证书 从 Mozilla 产品配置文件中删除根证书 (Mozilla/Thunderbird) 网络安全服务 (NSS) NSS 是一组由 Mozilla 开发的...
Superphish:在感染了 Superfish 恶意软件的计算机上静默拦截 SSL 的脚本
06-23
该脚本将静默拦截本地网络上感染 Superfish 恶意软件的计算机建立的 SSL 连接。 所有流量都将记录到“superphish.log”中。 分三个阶段工作: 激活数据包转发 ARP中毒 使用 Superfish CA 密钥进行 SSL 拦截 定位...
superfish:Superfish是jQuery插件,可在现有的多级下拉菜单中添加可用性增强功能
04-13
jQuery Superfish下拉菜单插件 我们最喜欢的水上超级英雄来自他在银河系中的定居之旅,注入了迄今未见的惊人新力量。 在他的现代化身中(戴着相当漂亮的斗篷),Superfish致力于使下拉菜单/弹出菜单能够在大小不同的...
证书签名(一):数字签名是什么
MachineEye
04-21 2万+
文章由阮一峰翻译,作者为 David Youd。用图片通俗易懂地解释了,”数字签名”(digital signature)和”数字证书”(digital certificate)到底是什么。   原文网址:http://www.youdzone.com/signature.html   阮一峰:http://www.ruanyifeng.com/blog/2011/08/what_is_a_di
签名、加密、证书的基本原理和理解
agongcao9295的博客
04-17 1204
最近开始接触后端PHP开发,里面涉及到的签名、加密、证书等概念弄得自己头晕眼花,最近查看了相关资料,下面把自己的理解写下来,有不对的地方,还请多指点指点。 数据传输安全的要满足的要求: 消息的发送方能够确定消息只有预期的接收方可以解密(不保证第三方无法获得,但保证第三方无法解密)。 消息的接收方可以确定消息是由谁发送的(消息的接收方可以确定消息的发送方)。 消息的接收方可以确...
图解数字签名Digital Signature 和数字证书Public-key certificate
Boffi
07-09 8018
转载自: http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html
利用SSLsplit工具实现TLS/SSL中间人攻击 ARP欺骗
永远在奔跑的学习者
11-15 4744
SSL、TLS中间人攻击 利用方法: ARP地址欺骗 修改DHCP服务器 (存在就近原则) 手动修改网关 修改DNS设置 修改HOSTS文件【高于DNS】 ICMP、STP、OSPF 中间人攻击前提 【以下某一条符合则可】 客户端已经信任伪造证书颁发机构(安装其根证书) 攻击者控制了合法证书颁发机构(控制CA服务器,为自己颁发证书) 客户端程序禁止了显示证书错误告警信息 (程序员个人能力有限) ...
服务器使用国密(SM2/SM3/SM4)证书,通过浏览器访问
致知的博客
11-28 1万+
1. Apache + Gmssl Apache 本身不支持国密,需要修改代码支持GMTLS 下载解压: wget http://archive.apache.org/dist/httpd/httpd-2.4.39.tar.gz tar -zxf httpd-2.4.39.tar.gz 修改文件:Apache dir\modules\ssl\ssl_engine_init.c SSL_C...
公钥与私钥对HTTPS的理解
afanti222的博客
03-20 1135
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识      这部分内容主要解释一些概念和术语,最好是先理解这部分内容。1.1、公...
关于国密HTTPS的那些事(三)
SSL加密技术
09-07 3259
前面我们和大家一起聊了一下加密套件,为什么这么详细的叙述加密套件呢,因为它的身份特殊啊,它可是连接通信双方的桥梁,也是月老手中的红绳。 言归正传,接下来我们再继续看看国密vpn协议中列举的基于国密算法加密套件(见下图)。每个加密套件也包含一个秘钥交换算法,一个加密算法,和一个校验算法。(大家不要奇怪怎么和之前介绍的4部分不一样啊,因为秘钥交换时使用的签名算法是一样的,如果这么表示RSA_RSA _.. ,这样看起来是不是很奇怪)。而在我们的实际应用中现在在国密的SSL通信中主要使用的还是ECC_SM4_S
深入理解加密、解密、数字签名签名证书、加密证书)的组成和数字证书
moonpure的专栏
11-14 1万+
深入理解加密、解密、数字签名和数字证书    随着电子商务的迅速发展,信息安全已成为焦点问题之一,尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动,公开密钥基础设施( PKI, Public Key Infrastructure )逐步在国内外得到广泛应用。我们是否真的需要 PKI , PKI 究竟有什么用?下面通过一个案例一步步地来剖析这个问题 :...
GB35114---SM3withSM2证书生成及读取(一)
xlb8224866的博客
03-23 8365
由于公司推迟上班时间,现在周末都在补班。这篇文章本计划周末写的,导致打断了。现在补上。 GB35114过检前的第一步就是交换及验证证书; 说到证书不得不提起签名算法;前面提到了gb35114所涉及到的加密,那么相应的我们使用的密钥对,包括对证书的制作签名都需要sm2-sm3格式的。这是我所用的证书的详细信息。 注意算法签名和公钥参数。 知道了这个,那我们就好办了,我是用gmssl命...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值