Superfish事件:自签名SSL证书惹的祸 分析
来源:互联网 发布:知耻近乎勇 作文 编辑:程序博客网 时间:2024/06/10 10:01
个人看法,联想 使用了Superfish 自签名的根证书,,更夸张的是,根证书私钥是个简单字符串,而且存在客户端也就是说,root.crt + root.key 在用户电脑上,实现https劫持,工作原理应该类似与 Fiddler 在本机把自己的跟证书嵌入系统可信区域。
可是根证书私钥使用了较简单内容,导致一旦被破解发现,黑客会使用联想发布的根证书+私钥,签发自己的黑客证书。
下一步就是通过arp欺骗或者dns欺骗,使得用户访问https网站时,连接到黑客自己制作的钓鱼网站,而该钓鱼网站使用的证书,就是联想笔记本内的根证书+私钥,签发的证书。这样就能拦截用户的网络访问+账户密码信息。实现对用户的钓鱼。
这款SuperFish插件相信是联想用来实现自己的商业目的。but使用了使用该SDK的每个产品在每台用户终端上内置根证书相同,而且证书密码都是“komodia”,这会导致SSL的中间人攻击。
阅读全文
1 0
- Superfish事件:自签名SSL证书惹的祸 分析
- Superfish事件:自签名SSL证书惹的祸
- Superfish事件:自签名SSL证书惹的祸
- 生成自签名SSL证书
- 在iOS上使用自签名的SSL证书
- 在iOS上使用自签名的SSL证书
- 给Nginx配置一个自签名的SSL证书
- 给Nginx配置一个自签名的SSL证书
- 创建并部署自签名的 SSL 证书到 Nginx
- 给Nginx配置一个自签名的SSL证书
- Android7.0的SSL自签名证书问题
- Android App实现自签名的 SSL 证书
- 给Nginx配置一个自签名的SSL证书 【转】
- 给Nginx配置一个自签名的SSL证书 【转】
- 创建并部署自签名的 SSL 证书到 Nginx
- Java SSL 自签名证书生成
- Java SSL 自签名证书生成
- Java SSL 自签名证书生成
- Java开发者的10个大数据工具和框架
- 机器学习——决策树算法
- QT水平布局基础应用一
- IDEA调试:Method breakpoints may dramatically slow down debugging
- json
- Superfish事件:自签名SSL证书惹的祸 分析
- Revit二次开发 体量里的放样
- Java分支结构
- 使用ClickOnce发布你的软件前,应该知道的一些事情(一些常见问题解决方法)
- mybatis自动生成entity,dao和mapper
- 盗墓笔记之缘起与大结局∶张起灵与汪藏海的500年恩怨情仇
- ActiveMQ安装及启动遇到的问题
- SystemUI导航键显示隐藏某个按钮(Recent Home Back)
- CFNetwork internal error