M?i ��y, vi?c c�c laptop Lenovo ��?c ph�t hi?n l� c� c�i �?t s?n ph?n m?m qu?ng c�o Superfish t? th�ng 9/2014 � 2/2015 �? d?y l�n c�c v?n �? l?n v? b?o m?t cho ng�?i d�ng m�y t�nh th��ng hi?u n�y.
V?n �? ph�t sinh ? ��y l� ch�ng ta s? ?ng x? nh� th? n�o tr�?c ph?n m?m qu?ng c�o n�y. Superfish c� kh? n�ng t? s?n xu?t c�c ch?ng ch? cho ph�p m?t b�n th? ba �?c h?i ch?n c�c k?t n?i SSL/TLS, hay n�i cho d? hi?u l� c�c phi�n duy?t web d?n �?n c�c trang web �https�.
Quan s�t h�nh vi th?c t? c?a ph?n m?m qu?ng c�o n�y c� th? ph�t hi?n ra nhi?u �i?u r?i ro v� ��ng ng?.
D�?i ��y l� ?nh ch?p m�n h?nh c?a m?t trang web ng�n h�ng tr?c tuy?n ��?c truy c?p qua tr?nh duy?t IE t? m?t m�y t�nh s?ch s? kh�ng c� ph?n m?m qu?ng c�o. Nh?p v�o bi?u t�?ng ? kh�a, n� cho th?y c�c th�ng tin v? ch?ng ch? SSL:
H?nh 1. Truy c?p trang web ng�n h�ng tr?c tuy?n t? m?t m�y t�nh x�ch tay s?ch s?
Ch?ng ch? SSL ��?c ban h�nh b?i Certificate Authority (CA) �?m b?o quy?n s? h?u h?p ph�p c?a trang web. Trong tr�?ng h?p n�y, VeriSign l� t? ch?c ph�t h�nh ch?ng ch? �?m b?o danh t�nh c?a ng�n h�ng Nh?t B?n X. Ch?ng ch? c?ng ��?c s? d?ng �? m? h�a ID ng�?i d�ng ho?c m?t kh?u tr�n m?t phi�n m? h�a. T�nh an to�n c?a m?t ��?ng link ��?c bi?u hi?n qua y?u t? n�y.
C�c ?nh ch?p m�n h?nh ti?p theo l� c?a c�ng m?t trang web. Nh�ng l?n n�y n� ��?c truy c?p th�ng qua tr?nh duy?t IE t? m?t m�y t�nh c� ? c?ng �? c�i s?n Superfish. Ch?ng ch? SSL c?a n� b�y gi? hi?n th? "Superfish" l� c�ng ty s? h?u ph�t h�nh thay v? l� "VeriSign".
H?nh 2. Truy c?p c�c trang web ng�n h�ng tr?c tuy?n t? m?t laptop b? nhi?m m? �?c.
Nguy�n nh�n c?a s? thay �?i n�y l� g?? Superfish c� ch?ng ch? CA ri�ng t? n� ph�t h�nh cho c�c ph?n m?m c?a m?nh. �i?u n�y khi?n n� c� th? chi?m quy?n �i?u khi?n phi�n duy?t web c?a ng�?i d�ng, t?o ra m?t ch?ng ch? t? duy?t v� thi?t l?p m?t li�n k?t SSL s? d?ng ch�nh n�. �i?u kh�ng may l�, tr?nh duy?t web x? l? c�c ch?ng ch? Superfish t?o ra ��?c c�ng nh?n l� h?p ph�p. V? v?y, c�c ch?ng ch? CA b�y gi? l� Superfish, kh�ng ph?i VeriSign.
Ngo�i ra, m?t m? ri�ng t� nh?m t?o ra m?t ch?ng ch? ��?c bao g?m trong ph?n m?m v� c� s?n trong b?t k? thi?t b? n�o ngay khi mua v?. C�c m?t kh?u c?a m? n�y c?ng �? ��?c c�ng b? tr�n Internet. N�i ch�nh x�c l�, v?i c�c c?p m?t kh?u n�y, k? x?u c� th? l?i d?ng n� �? ��nh ch?n c�c d? li?u truy?n qua c�c ��?ng link �? ��?c m? h�a, ho?c k�m m? �?c v�o ��?ng link ��. �i?u x?u nh?t c� th? x?y ra trong v� d? k? tr�n l� vi?c d? li?uc� th? d? d�ng b? ��nh c?p sau phi�n duy?t web ng�n h�ng tr?c tuy?n.
Ng�?i d�ng laptop Lenovo c� c�i s?n Superfish ��?c khuy?n c�o l� c?n x�a ph?n m?m mang t�n �Superfish Inc.Visual Discovery� (t? Windows Control Panel) v� ch?ng ch? Superfish (t? danh s�ch Trusted Root Certification Authorities) c�ng s?m c�ng t?t.
Hi?n t?i, c�c s?n ph?m b?o m?t di?t virus c?a Kaspersky c� th? gi�p b?n ?n �?nh l?i m�y t�nh n?u n� b? ?nh h�?ng, ph�t hi?n ph?n m?m qu?ng c�o kh�ng ph?i l� virus nh� AdWare.Win32.Superfish.b.
Kaspersky ph�t hi?n Superfish
Lenovo khuy?n c�o c�ng c? g? ph?n m?m Superfish t? �?ng l� Automatic Removal Tool trong Security Advisory c?a h? (LEN-2015-101).
Xu�n Dung - kaspersky.proguide.vn
C?nh b�o laptop Lenovo c� c�i s?n ph?n m?m qu?ng c�o Superfish
4/
5
Oleh
Unknown
