Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Se encontraron más apps similares a superfish
La vulnerabilidad Superfish afectó a varios modelos de computadoras portátiles Lenovo que fueron distribuídos antes de enero de 2015, en estos equipos la comunicación sobre HTTPS de los usuarios es interceptada y descifrada, logrando así la manipulación de las páginas y anuncios.
Ahora se cree que afecta también a las herramientas de control parental y a otros programas de tipo adware. Lenovo acaba de lanzar una herramienta de eliminación automatizada para asegurar el borrado completo de Superfish y de los certificados para los principales navegadores. Pero eso no es todo.
Superfish utiliza una técnica conocida como "HIJACKING SSL" (Secuestro de SSL), se utiliza un Framework adquirido de una empresa llamada Komodia, de acuerdo con un blog escrito por Matt Richard, un investigador de amenazas del equipo de seguridad de Facebook. La técnica tiene la capacidad de evadir protecciones SSL (Secure Sockets Layer) mediante la modificación de la pila de red de los equipos donde se ejecuta su código adicional.
Komodia instala un certificado de CA raíz autofirmado que le permite interceptar y descifrar las conexiones HTTPS. El SSL Decoder de la compañía Superfish y otros programas similares están presentes en muchos otros productos.
El investigador también dice que Facebook descubrió más de una docena de aplicaciones de software que no son Superfish y además utilizan Komodia. Estos son:
-
CartCrunch Israel LTD
-
WiredTools LTD
-
Say Media Group LTD
-
Over the Rainbow
-
Tech System Alerts
-
ArcadeGiant
-
Objectify Media Inc
-
Catalytix Web Services
-
OptimizerMonitor
"Lo que todas estas aplicaciones tienen en común es que hacen las comunicación de los usuarios menos segura a través del uso de una CA raíz que puede obtenerse de manera sencilla, proporcionan poca información sobre los riesgos de esta tecnología y, en algunos casos, son difíciles de eliminar." Comentó el investigador Matt Richard.
"Además, es probable que estos proxies que interceptan el tráfico SSL no estén al día con las actualizaciones y características del protocolo HTTPS en los navegadores (por ejemplo, en la colocación de certificados y la confidencialidad), lo que significa que potencialmente podrían exponer los datos privados. Algunas de estas deficiencias pueden ser detectados por los antivirus como malware o adware, aunque desde nuestra investigación, los éxitos de detección son esporádicos."
En 2012, Facebook inició un proyecto con investigadores de la Universidad Carnegie Mellon con el fin de medir qué tan prevalentes son los ataques man-in-the-middle (MitM) sobre SSL.
El equipo encontró que varios dispositivos estaban haciendo uso de la misma clave privada, eso provocaba que un atacante puediera extraer la clave desde cualquier dispositivo único.
Los investigadores dijeron que las bibliotecas de Komodia se pueden detectar fácilmente así como el software que se instala por partede de la CA raíz, ya que contiene una serie de atributos que permiten su localización, esto a partir de los certificados que se han encontrado del software.
Richard también publicó los hashes SHA1 que se utilizaron en la investigación para identificar el software que contiene las bibliotecas de Komodia. La lista de hashes SHA1 son:
0cf1ed0e88761ddb001495cd2316e7388a5e396e
473d991245716230f7c45aec8ce8583eab89900b
fe2824a41dc206078754cc3f8b51904b27e7f725
70a56ae19cc61dd0a9f8951490db37f68c71ad66
ede269e495845b824738b21e97e34ed8552b838e
b8b6fc2b942190422c10c0255218e017f039a166
42f98890f3d5171401004f2fd85267f6694200db
1ffebcb1b245c9a65402c382001413d373e657ad
0a9f994a54eaae64aba4dd391cb0efe4abcac227
e89c586019e259a4796c26ff672e3fe5d56870da
El investigador invitó a colegas e investigadores a utilizar estos hashes con el fin de identificar el software potencialmente peligroso que circula a través de Internet.
"Estamos publicando este análisis para crear conciencia sobre el alcance del software para que la comunidad también pueda ayudar a proteger a las personas y a sus computadoras", escribió Richard.
