หลังรายงานโปรแกรมโฆษณา Superfish ถูกติดตั้งมากับโน้ตบุ๊กเลอโนโวหลายรุ่น โดย Superfish จะคั่นกลางเว็บทุกเว็บแม้แต่เว็บที่เข้ารหัส และแทรกโฆษณาเข้าไปในหน้าเว็บเหล่านั้น ตอนนี้ ทุกเครื่องที่มี Superfish อยู่ในเครื่องเสี่ยงต่อการถูกดักฟังทั้งหมด

สาเหตุเพราะตัว Superfish ทำตัวเองเป็นพรอกซี่คั่นกลางแบบเดียวกับ mitmproxy และกระบวนการติดตั้งจะใส่ไฟล์ CA ของ Superfish ลงไปในวินโดวส์ แต่กุญแจของ CA นี้ก็อยู่ในไฟล์ exe ของ Superfish นั่นเองเพราะตัวโปรแกรมทำหน้าที่คั่นกลางเว็บที่ผู้ใช้เปิดขึ้นมา

Robert Graham จาก Errata Security แกะหาไฟล์กุญแจของ CA ในไฟล์ exe ของ Superfish พบว่าเป็นไฟล์ที่เข้ารหัสไว้ด้วยรหัสผ่าน และเมื่อพยายามหาคำสำคัญที่น่าจะเป็นรหัสผ่านจากไฟล์ exe เองก็พบว่ารหัสผ่านคือ "komodia" ทำให้สามารถดึงเอากุญแจของ Superfish ออกมาได้

แฮกเกอร์ที่ต้องการดักฟังเครื่องที่มี Superfish สามารถใช้กุญแจนี้กับโปรแกรมคั่นกลางเว็บเข้ารหัส เช่น mitmproxy เพื่อดักฟังเว็บทั้งหมดได้ แม้ว่า Chrome และ Firefox จะเริ่มล็อกใบรับรองในเว็บจำนวนหนึ่งแต่ก็ไม่ควรวางใจ เพราะเว็บจำนวนมากยังไม่ได้ล็อกใบรับรอง และ Internet Explorer เองก็เพิ่ง ทดสอบฟีเจอร์นี้

สำหรับคนที่สงสัยว่าจะมี Superfish หรือไม่ ตรวจสอบเบื้องต้นได้ในเว็บ Superfish CA Test

แนวทางแก้ปัญหาเบื้องต้น คือ ถอดใบรับรองของ Superfish ออกจากเครื่อง ด้วยการรัน mmc แล้ว เข้าจัดการ CA หรือหากยังไม่แน่ใจอาจจะต้องล้างเครื่องลงใหม่ครับ

ที่มา - Errata Security