Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「Superfish」の問題機能は「Komodia Redirector SDK」により実装

Lenovoが販売した一部端末に、アドウェア「Superfish」が含まれていた問題で、問題とされる機能は、「Komodia Redirector SDK」によって実装されていたことがわかった。「Superfish」以外にも同SDKを利用しているケースがあり、セキュリティ機関が注意を呼びかけている。

脆弱性情報のポータルサイトであるJVNによれば、「Komodia Redirector」の「SSL Digestorモジュール」により、HTTPSトラフィックの傍受を実現するプロキシ機能を実装していた。

またアプリケーションから秘密鍵を容易に取り出すことができる脆弱な「証明書」を、証明書ストアへ追加する問題がある。Lenovoがプリインストールしていたことから話題となった「Superfish」以外にも、「KeepMyFamilySecure」など、同SDKを利用したソフトウェアがあるという。

セキュリティ機関では、「Komodia Redirector」や「SSL Digestorモジュール」を含むソフトウェアをアンストールするよう呼びかけるとともに、脆弱なルート証明書をあわせて削除するよう注意を喚起している。

(Security NEXT - 2015/02/24 ) このエントリーをはてなブックマークに追加

PR

関連記事

匿名加工用の医療データDBに本人通知なく取得したデータ - プログラムミスで
配布チラシに生活保護受給者の伝票が混入、共有複合機で - 生駒市
脆弱性管理避けられぬOSS、経産省が事例集を拡充
個人情報含む高齢者名簿が所在不明に - 北九州市
個人情報などウェブ入力内容を委託先に外部送信 - 新生銀
他自治体からの照会文書が所在不明に - 大阪市
県立校で裏紙利用した計算用紙に答案用紙が混入 - 佐賀県
イベントで参加者の手荷物紛失、なかに戸籍謄本 - 野田市
広く活用されるnpmパッケージ「UAParser.js」にマルウェア混入
マイナンバー含む給与支払報告書を誤送付 - 横浜市