セキュリティ企業が HTTPS Spoofing ツールを販売していた?
セキュリティ企業が HTTPS Spoofing ツールを販売していた?
SSL証明書を発行する企業が証明書を偽造する悪質なアドウェア「Privdog」を販売していたことが判明
COMODO Internet SecurityなどのPC向けセキュリティツールの開発や、SSL証明書の発行を行うComodoが販売していたソフトウェアの「Privdog」は、Lenovo製PCにgigazine.net
COMODO Internet SecurityなどのPC向けセキュリティツールの開発や、SSL証明書の発行を行うComodoが販売していたソフトウェアの「Privdog」は、Lenovo製PCにgigazine.net
しかし、PrivDogは全ての証明書を傍受し、証明書をルート鍵により署名されたものに置き換えます。これは、あらゆる証明書が有効ではなくなることを意味し、さらにブラウザが全ての通信を承認してしまい、SSL通信におけるCAの役割が全く意味のないものになってしまう、ということも意味します。なお、Superfishではホストと同じ証明書と秘密鍵を使用するのですが、PrivDogは全てのインストール先で秘密鍵を再作成してしまう、とのことです。
なお、そんなPrivDogを販売しているのは「Comodo Dragon browser」や「COMODO Internet Security」などの開発元であるComodo。ComodoはSSL認証局として証明書の発行サービスも行っているので、「自社で発行している証明書を自社が販売しているソフトウェアがニセの証明書に書き換えているかもしれない」、ということになります。
いやはや。ちなみにこの記事には追記があって
・追記 2015年02月24日 11時37分00秒
SSLの証明書を傍受するのは「PrivDog 3.0.96.0」で、Comodoはこのバージョンのものを販売していないとのこと。
ということらしいので、もしかしたら PrivDog の改造版が出回ってるのかもしれませんね。
Lenovo は何をやらかしたのか(修正・追記あり) - Baldanders.info
ルールをぶっ壊す話は大好物! Lenovo こそ「這い寄る混沌」なのかもしれない(笑)(修正・追記あり)www.baldanders.info
ルールをぶっ壊す話は大好物! Lenovo こそ「這い寄る混沌」なのかもしれない(笑)(修正・追記あり)www.baldanders.info
SSL/TLS の PKI はもうぶっ壊れてるのかも。