Gå till innehåll

Lenovo-datorer med Superfish


Recommended Posts

EFF har publicerat två artiklar om Superfish, det annonsprogram som Lenovo har installerat på sina datorer.

En testsida gjord av Filippo Valsorda, som visar om Superfish är aktivt: https://filippo.io/Badfish/

 

Lenovos ynkliga kommentar (som helt förtiger själva problemet): LENOVO STATEMENT ON SUPERFISH

Redigerad av JoWa
Länk till kommentar
Dela på andra webbplatser

Superfish är långt ifrån ensamt om att avlyssna krypterad information genom att installera ett eget certifikat, som sedan ersätter webbsidornas certifikat. Ett annat, nyss uppmärksammat, exempel är PrivDog (ej att förväxla med webbläsartillägget PrivDog) från AdTrustMedia. Såhär ser https://www.bankofamerica.com/ut i Chrome med PrivDog installerat:  https://i.imgur.com/pbEFW5X.png Bifogad bild visar samma sida i Chrome i min dator.

 

post-7701-0-86981900-1424934327_thumb.pn

 

Notera särskilt Utfärdat av (Issued by) och hur det ser ut i adressfältet. bankofamerica.com har ett EV-certifikat (Extended validation), medan PrivDogs certifikat är ett DV-certifikat (Domain validation). Med andra ord utjämnas skillnaderna, t.ex. typ av validering, mellan olika certifikat. Vissa versioner av PrivDog accepterade även självsignerade certifikat utan att visa någon varning. Notera även ”Öppen information” i bilden från min dator. Det handlar om Certificate transparency, och är inte så utbrett än. Se även beskrivning här.

 

Det är de synliga skillnaderna. Det viktiga är dock att krypteringen från klient till server bryts av denna ”man in the middle”, som står mellan klienten och servern, och kan avlyssna den krypterade informationen. Bruten kryptering, bruten tillit.

 

Det är dock inte endast dessa enstaka program som beter sig på detta sätt. Antivirusprogram som skannar nätverkstrafiken, och gör det även på säkra anslutningar, använder samma teknik. Även program för innehållsblockering använder denna teknik. Jag avråder från att använda sådan program/funktioner.

 

Ger åter en länk till Filippo Valsordas testsida: https://filippo.io/Badfish/

 

EFF: Dear Software Vendors: Please Stop Trying to Intercept Your Customers’ Encrypted Traffic

Länk till kommentar
Dela på andra webbplatser

  • 8 månader senare...

Delta i dialogen

Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Only 75 emoji are allowed.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Skapa nytt...