SSL証明書発行企業が証明書の偽造アドウェア販売


▼ページ最下部
001 2015/02/26(木) 05:46:19 ID:67Cg9kBcVI
COMODO Internet SecurityなどのPC向けセキュリティツールの開発や、SSL証明書の発行を行うComodoが販売していたソフトウェアの「Privdog」は、
Lenovo製PCにプリインされているアドウェア「Superfish」よりも悪質なアドウェアで、HTTPSのセキュリティを完全に破壊してしまう危険性があるということが、
ドイツ人ジャーナリストのHanno Böckさんのブログ内で明かされました。


HTTPSではHTTP通信をSSLにより暗号化することで、通信内容の傍受などを防ぎ、さらに通信内容の改ざんも防ぎます。
SSLを使った安全な通信を行う際、ブラウザはウェブサーバから証明書を送ってもらい、サイトがどの認証局(CA)に認可されているのかを見ます。
そして、自分のルート証明書のリストにそのCAが含まれているかを確認し、信頼できるサイトかどうかを判断します。

しかし、PrivDogは全ての証明書を傍受し、証明書をルート鍵により署名されたものに置き換えます。
これは、あらゆる証明書が有効ではなくなることを意味し、さらにブラウザが全ての通信を承認してしまい、
SSL通信におけるCAの役割が全く意味のないものになってしまう、ということも意味します。
なお、Superfishではホストと同じ証明書と秘密鍵を使用するのですが、PrivDogは全てのインストール先で秘密鍵を再作成してしまう、とのことです。

なお、そんなPrivDogを販売しているのは「Comodo Dragon browser」や「COMODO Internet Security」などの開発元であるComodo。
ComodoはSSL認証局として証明書の発行サービスも行っているので、「自社で発行している証明書を自社が販売しているソフトウェアがニセの証明書に書き換えているかもしれない」、ということになります。

http://gigazine.net/news/20150223-comodo-adware-pr...

おいおい

返信する

002 2015/02/26(木) 06:12:10 ID:bGhIqfDdhw
スレ画w秀逸w

返信する

003 2015/02/27(金) 14:59:37 ID:Xjrh7QBhPE
トカゲは昔使ってた、良かったけどなぁ こわいこわい
ところでSuperfishはGoogle Chrome系のExtensionにも入っているのあるから
長く使ってるExtensionは一旦削除とレジ掃除
最近のExtensionでは見つからないから再インスコしたほうがいい

返信する

004 2015/02/28(土) 16:34:14 ID:o15z5bHMf6
アドウェアじゃなくて、そのプラグインに脆弱性があったってことだろ。
だいたい作ってるのもcomodoじゃなくて別の会社だし。
証明発行機関が分かっててそんなことするはずないし、googleやfirefox系の他のブラウザでもそのプラグイン配信してる。

返信する

005 2015/02/28(土) 17:28:19 ID:wuq9Vl3VPw
Comodo Dragon Internet Browser のアップデートで入ってくるから無関係とはいえない
トカゲがGoogleChromeベースで作った物にハンドルしてるんだから対応するのは当然
自社のセキュリティ製品入れればいいのに。従来通りサーバーメインでやればいいのに。
他のブラウザはアドオン(プラグイン)で初めから入ってくるのはflashくらい

返信する

006 2015/02/28(土) 18:59:28 ID:n8aTpNeNtg
ブラウザに脆弱性が見つかったらそのブラウザ丸ごとアドウェアに認定するような理屈。

返信する

008 2015/03/01(日) 04:19:24 ID:jb4QEPPNms
記事だとPrivDogはSSLの暗号を傍受して自分の暗号鍵に改ざんするって言うんだから
脆弱性から傍受される危険のあるSuperFishと違い明らかに悪質。
作ってるのは別の会社とかって言ってもセキュリティソフト作ってる会社が
販売したり、ソフトにバンドルしてるんだからマズいだろ。
http://www.itmedia.co.jp/enterprise/articles/1502/27/ne...
Superfishの問題部分を作った会社KomodiaってCOMODOと響きが似てるけど関係無いんかな?

返信する

009 2015/03/01(日) 22:28:13 ID:Jx23bdxO9E
あんまカンケー無いけどFLASHのアップデートとか・・
ボヤッとしてると
うっかりインストールされるしね
マジヌッコロスぞゴルアって感じやねん

返信する

010 2022/05/16(月) 23:10:40 ID:/KZ.Q.dXyA
桃屋のごはんですよ

返信する

011 2022/05/16(月) 23:12:46 ID:/KZ.Q.dXyA
桃屋のごはんですよ

返信する


▲ページ最上部

ログサイズ:6 KB 有効レス数:11 削除レス数:1





パソコンソフト掲示板に戻る 全部 次100 最新50

スレッドタイトル:SSL証明書発行企業が証明書の偽造アドウェア販売

レス投稿

未ログイン (ログイン

↑画像ファイル(jpg,gif,png)