بررسی عملکرد بدافزار Superfish روی لپ تاپ های Lenovo

06 اسفند 1393 3780 بازدید

کسپرسکی

هفته گذشته اخباری مبنی بر اینکه بر روی آخرین لپ تاپ های لنوو یک بدافزار تبلیغاتی یا تبلیغ افزار نصب شده است منتشر شد که شرکت کسپرسکی* طی این گزارش ضمن بررسی عملکرد بدافزار، به مشکلات امنیتی که ممکن است این بدافزار برای کاربران به همراه داشته باشد میپردازد.

اولین مشکل کار اینجا است که شرکت لنوو، ماهها بوده است لپتاپ های تولیدی خود را حاوی این بدافزار تبلیغاتی یا به عبارتی تبلیغ افزار (adware) عرضه نموده است (از سپتامبر 2014 تا فوریه 2015).

مشکل بعدی مربوط میشود به رفتار یا عملکرد این تبلیغ افزار که ضمن توانایی در ایجاد گواهی دیجیتالی یا مجوز معتبر نرم افزاری میتواند به یک شخص سودجو یا نفر سومی اجازه دهد تا اقدام به کنترل کانکشن‌های SSL/TLS یا بعبارت ساده تر، session های https بپردازد.

بهرحال در ادامه به بررسی دقیقتر مشکل دوم می‌پردازیم:

تصویر زیر، اسکرین شات یا تصویر گرفته شده از یک وبسایت مربوط به خدمات آنلاین بانکی (روی یک سیستم پاک و بدون ) است که نشان میدهد با کلیک روی آیکون قفل اطلاعات مربوط به گواهی دیجیتال SSL مشاهده میشود:

 

شکل 1 – دسترسی به یک وبسایت بانکی از طریق یک سیستم پاک

 

گواهی دیجیتال SSL از سوی یک مرجع صدور گواهی دیجیتال (Certificate Authority یا CA) صادر میشود تا قابل اطمینان بودن وبسایت را تضمین نماید. در این نمونه، VeriSign صادرکننده گواهی است که هویت این بانک ژاپنی (Japan xxxx BANK Co,Ltd) را ضمانت نماید. این گواهی همچنین برای کدگذاری اطلاعات کاربر (نام کاربری، کلمه عبور و ...) روی وبسایت میباشد که بنوعی امنیت این اتصال یا کانکشن را نیز تضمین میکند.

تصویر زیر، اسکرین شات یا تصویر گرفته شده از همان وبسایت است، که اینبار روی مرورگر اینترنت اکسپلورر در یکی از سیستم های آلوده به Superfish باز شده است. در این مورد صادرکننده گواهی دیجیتال Superfish معرفی شده نه صادرکننده اصلی یعنی VeriSign.

 

شکل 2 – دسترسی به همان وبسایت بانکی از طریق یک سیستم آلوده

 

اما دلیل و مشکل امنیتی تغییرات ایجاد شده توسط Superfish چیست؟!

این نشان میدهد که Superfish دارای یک صادر کننده گواهی بر روی نرم افزار خود میباشد و این میتواند منجر به دسترسی و کنترل اتصالات یا sessionهای وبسایت های مورد بازدید کاربر شود و متاسفانه مرورگرها نیز گواهی های Superfish را معتبر می‌شناسند.

علاوه بر این، کلید خصوصی یا private key که برای ایجاد این گواهی در بدافزار موجود است، براحتی قابل دسترسی است و پسورد آن نیز برای عموم روی وبسایت هر شخص دیگری میتواند برای سودجویی از این کلید سوءاستفاده نماید. بطور کلی میتوان گفت افراد سودجو با در اختیار داشتن این کلید و پسورد آن میتوانند ضمن نفوذ به هر سیستمی به اطلاعات شخصی و حساس و محرمانه آن کاربر دسترسی پیدا کرده و یا با تحت کنترل داشتن کانکشن‌هایی که روی سیستم آلوده بصورت ایمن تعریف میشود هر کد مخرب دیگری را روی آن سیستم باز نماید.

بدترین قسمت این سناریو را میتوان دسترسی به اطلاعات بانکی کاربر و سرقت این اطلاعات بهنگام بررسی حساب بانکی یا خرید آنلاین در نظر گرفت.

به کاربران لپتاپ های لنوو بویژه کاربرانی که محصول آنها با سیستم عامل پیش نصب شده و در بازه زمانی فوق الذکر عرضه شده است به شدت توصیه می‌شود تا نرم افزار Superfish Inc. Visual Discovery را در کنترل پنل ویندوز بررسی نموده و در صورت وجود آن را حذف نمایند و همچنین گواهی دیجیتال را از لیست Trusted Root Certification Authorities حذف نمایند.

در تصویر زیر میبینید که آنتی ویروس های کسپرسکی براحتی این بدافزار را شناسایی نموده و به کاربر اجازه حذف مستقیم آن را میدهد.

 

همچنین، شرکت لنوو در توصیه های امنیتی اخیر خود، از کاربران خواسته تا از ابزار حذف خودکار Superfish یعنی Automatic Removal Tool for Superfish به منظور حذف مستقیم این بدافزار استفاده نمایند.

منبع: کسپرسکی آنلاین

 

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.