「Superfish」の問題機能は「Komodia Redirector SDK」により実装

Lenovoが販売した一部端末に、アドウェア「Superfish」が含まれていた問題で、問題とされる機能は、「Komodia Redirector SDK」によって実装されていたことがわかった。「Superfish」以外にも同SDKを利用しているケースがあり、セキュリティ機関が注意を呼びかけている。

脆弱性情報のポータルサイトであるJVNによれば、「Komodia Redirector」の「SSL Digestorモジュール」により、HTTPSトラフィックの傍受を実現するプロキシ機能を実装していた。

またアプリケーションから秘密鍵を容易に取り出すことができる脆弱な「証明書」を、証明書ストアへ追加する問題がある。Lenovoがプリインストールしていたことから話題となった「Superfish」以外にも、「KeepMyFamilySecure」など、同SDKを利用したソフトウェアがあるという。

セキュリティ機関では、「Komodia Redirector」や「SSL Digestorモジュール」を含むソフトウェアをアンストールするよう呼びかけるとともに、脆弱なルート証明書をあわせて削除するよう注意を喚起している。

（Security NEXT - 2015/02/24 ） ツイート

PR

関連記事

新生児訪問指導票などを誤廃棄か、再利用段ボールで保管 - 船橋市
ライブラリ「XZ Utils」の一部バージョンに悪意あるコード
ATMの取引情報が記録された記録媒体を紛失 - 杜の都信金
戸籍謄本などパスポート発給申請書類を紛失 - パスポートセンター久留米支所
一斉配信メールのヘッダ内に無関係メアド、不具合で - 日本心理学会
合併金融機関との口座番号対照表を紛失 - 武蔵野銀
就職情報サイト「マイナビ」、応募者データのDL機能に不具合
一部製品にユーザー情報が混入、利用者へ展開 - チエル
借り受けた国民年金納付者リストを紛失 - 可児市
広報紙と一緒に個人情報含む名簿を誤配布 - 相模原市