最近一段時間，春節期間爆發的“Superfish”事件持續發酵，這款電腦預裝軟體究竟具有怎樣的安全風險，是什麼原因讓Superfish具有如此廣泛的影響？記者就此採訪了360網際網路安全中心的安全專家，該專家稱，導致Superfish引發安全風險的始作俑者是一個由Komodia公司提供的SDK(Software Development Kit，軟體開發工具包)，除了Superfish，或有更多軟體同樣中招。

　　Superfish不是唯一中招者 更多軟體存在風險

　　電腦中預裝的Superfish軟體，會導致多數瀏覽器信任低校驗水準的SSL證書。該軟體可以生成自簽名SSL數字證書，在用戶不知情的情況下，截獲基於SSL的加密通訊內容，甚至允許第三方攔截SSL連接。這意味著用戶電腦和網站伺服器之間的加密資訊可被解密、篡改，而惡意駭客可以利用該漏洞向客戶端電腦發起釣魚網站攻擊。安裝了Superfish的電腦用戶，將有可能面臨隱私泄漏、被釣魚等嚴重威脅。

　　據國外媒體報道，國外相關研究人員最近又在十幾款其他應用程式中發現了相同的安全問題，兒童上網監控軟體Qustodio、Kurupira、Infoweise，以及Komodia自己的KeepMyFamilySecure軟體，還有電腦安全防護軟體Lavasoft和Websecure都在其中。

　　據360安全專家介紹，問題的根源在於這些軟體都使用了一個由以色列公司Komodia提供的SDK，凡使用了這個SDK的軟體均存在與Superfish類似的安全風險。

　　漏洞已被利用來發起中間人攻擊

　　國外研究人員表示，這個由Komodia提供的SDK存在安全漏洞，目前攻擊者已經利用Superfish等軟體使用的這個SDK中的漏洞，對一些訪問最為敏感的且受HTTPS保護的網站終端用戶發動了真實的中間人攻擊。這些站點包括Gmail、Amazon、eBay、Twitter以及Gpg4Win.org等，或已導致攻擊者獲得訪問用戶郵件、搜索歷史紀錄、社交媒體賬戶、網購賬戶和銀行賬戶的許可權，甚至獲得安裝惡意軟體的能力，這可能會長久攻陷用戶瀏覽器或讀取他們的加密密鑰。

　　360安全專家對這款SDK存在的安全風險進行了分析：

　　1、使用該SDK的每個産品在每台機器上內置的根證書是相同的，而且證書密碼都是“komodia”，這會導致SSL的中間人攻擊。

　　2、該SDK在校驗HTTPS 網站伺服器發來的證書時不嚴謹，使得Chrome/IE不會對非法的網站證書發出警告，這將使用戶面臨嚴重的被釣魚風險。

　　3、該SDK使用了過時的較弱的加密演算法。

　　這一事件帶來的教訓無疑是深刻的。它提醒電腦OEM製造商需要更嚴格地對其預裝軟體的安全性進行把關，也提醒SDK開發商和軟體開發商本著對用戶負責的態度，更加關注軟體設計的安全性。360安全專家介紹，目前360安全衛士可以幫助用戶對Superfish軟體及其證書進行徹底清理，360也將繼續跟進事件發展，以期為用戶電腦帶來更好的安全防護。