- PVSM.RU - https://www.pvsm.ru -
CA-сертификат Superfish в хранилище ключей Windows
В феврале 2015 года компанию Lenovo уличили [1] в установке на ноутбуки вредоносной программы VisualDiscovery, разработанной Superfish. При подробном рассмотрении это оказался типичный зловред, который прослушивает трафик, анализирует поисковые запросы и внедряет рекламу на страницы сторонних сайтов. Приложение перехватывает, в том числе, HTTPS-трафик. Для этого, оно устанавливает корневой CA-сертификат Superfish в хранилище ключей Windows (с приватным ключом к нему) и проксирует весь трафик между хостом и браузером, подменяя сертификат на свой. Простой брутфорс по словарю из 2203 слов [2] с помощью взломщика сертификатов pemcrack [3] определил пароль для приватного ключа komodia.
В общем, история вышла крайне неприятная. Выяснилось, что данный зловред устанавливается на ноутбуки Lenovo с сентября 2014 года.
Дальнейшее расследование показало, что в общей сложности зловред был установлен на 750 000 ноутбуков следующих моделей: E-Series, Edge Series, Flex-Series, G-Series, Miix Series, S-Series, U-Series, Y-Series, Yoga Series и Z-Series.
Зловред не только сам вторгался в зашифрованный трафик пользователя, но благодаря приватному ключу от сертификата с простым паролем потенциально предоставлял возможность для проведения MitM-атаки стороннему злоумышленнику, что ставит под угрозу конфиденциальность информации, в том числе финансовых данных и проч.
Приватный ключ [4] для CA-сертификата Superfish
После разразившегося скандала Lenovo выложила инструмент [5] для автоматического удаления Superfish и инструкцию по его удалению вручную. Но это не спасло её от наказания. Сначала возмездие пришло в виде хакерской атаки с дефейсом Lenovo.com [6], а сейчас китайскую фирму заставили выплатить компенсацию пострадавшим владельцам ноутбуков.
Против компании Lenovo был подан коллективный иск (PDF) [7] в Федеральный окружной суд Северного округа Калифорнии с требованием о выплате компенсации, и 21 ноября 2018 года суд предварительно удовлетворил эти требования.
Однако до выплаты установленной судом компенсации дело не дошло, потому что Lenovo договорилась с представителями истца о досудебной компенсации в размере $7,3 млн [8]. Эта сумма добавляется к предыдущей компенсации $1 млн, которую уже выделила Lenovo. Таким образом, общий объём фонда для выплаты компенсации пострадавшим американским пользователям теперь составляет $8,3 млн.
Нужно заметить, что Lenovo долго не соглашалась с требованиями истца на том основании, что ей «неизвестно об эксплуатации программы Superfish третьими лицами». Она осталась при своём мнении, но выразила удовлетворение тем, что этот 2,5-летний процесс наконец-то закончен. Об этом сказано в официальном (уже удалённом) пресс-релизе [9].
Возможно, из фонда придётся вычесть стоимость юридических услуг на ведение процесса. Если разделить компенсацию на всех 750 000 пострадавших пользователей, то каждому досталось бы всего лишь около $10. В принципе, это очень мало за установку MitM-прокси с внедрением рекламы: например, Amazon даёт скидку $20 на свои Kindle, если пользователь соглашается на просмотр рекламы. Так что $10 за человека — очень мало и даже выгодно для Lenovo. Если не считать ущерб для репутации.
Но на практике количество компенсационных выплат может быть гораздо меньше, чем 750 000, так что и выплаты будут побольше, чем $10. Компенсация предусмотрена только для тех, кто в период с 1 сентября 2014 года по 28 февраля 2015 года купил на территории США ноутбуки следующих моделей:
- G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
- U Series: U430P, U430Touch, U530Touch
- Y Series: Y40-70, Y50-70
- Z Series: Z50-75, Z40-70, Z50-70
- Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15(BTM), Flex 10
- MIIX Series: MIIX2-10, MIIX2-11
- YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
Точный размер суммы компенсации зависит от количества пользователей, которые подадут заявления в фонд. Кроме этих денег, ранее Lenovo уже заплатила два штрафа по $3,5 млн [10] по соглашению с Федеральной торговой комиссией и властями 32 штатов.
В России коллективный иск против Lenovo, насколько известно, не подавался, поэтому компенсация ущерба не предусмотрена.
Автор: GlobalSign_admin
Источник [11]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/lenovo/301229
Ссылки в тексте:
[1] уличили: https://habr.com/post/251069/
[2] по словарю из 2203 слов: http://blog.erratasec.com:80/2015/02/extracting-superfish-certificate.html
[3] pemcrack: https://github.com/robertdavidgraham/pemcrack
[4] Приватный ключ: https://github.com/robertdavidgraham/pemcrack/blob/master/test.pem
[5] выложила инструмент: https://habr.com/post/365143/
[6] хакерской атаки с дефейсом Lenovo.com: https://habr.com/company/pt/blog/251609/
[7] коллективный иск (PDF): https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/lenovosettle21nov2018.pdf
[8] досудебной компенсации в размере $7,3 млн: https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/lenovomotion-tosettle11jul2018.pdf
[9] официальном (уже удалённом) пресс-релизе: https://webcache.googleusercontent.com/search?q=cache:YCu0FhnZ-Q0J:https://news.lenovo.com/pressroom/press-releases/lenovo-statement-on-federal-trade-commission-ftc-ruling.htm+&cd=1&hl=en&ct=clnk&gl=uk
[10] два штрафа по $3,5 млн: https://www.ftc.gov/news-events/press-releases/2017/09/lenovo-settles-ftc-charges-it-harmed-consumers-preinstalled
[11] Источник: https://habr.com/post/432120/?utm_campaign=432120
Нажмите здесь для печати.