Basato su un altro importante aggiornamento di Superfish: La verifica SSL lato client di Komodia è fallita!
Il problema principale con i proxy di intercettazione SSL (o qualsiasi software crittografico interno) sviluppato da OEM o da una terza parte come Komodia è che non ci si può fidare di loro (specialmente dopo il ronzio di Superfish )! TLDR di questo nuovo aggiornamento: un utente malintenzionato non ha nemmeno bisogno di estrarre le chiavi radice per un attacco MitM contro le vittime. Poiché il modo di gestire un certificato non valido / non autofirmato / autofirmato di Komodia è difettoso, è molto semplice aggirare il processo di convalida del certificato SSL (impostando nomi alternativi in un certificato). Controlla il post collegato sopra per i dettagli
Lezione appresa: L'implementazione del software crittografico (inclusi i proxy di intercettazione) non è un compito facile. Analisi di progettazione corrette (da più esperti di crittografia), test rigorosi e valutazioni devono essere eseguiti su tale software prima di essere utilizzati nella produzione. Quoiting da una risposta eccezionale alla domanda Perché non dovremmo eseguire il rollover? :
You can roll your own, but you probably will make a major security
mistake if you are not an expert in security/cryptography or have had
your scheme analyzed by multiple experts. I'm more willing to bet on
an open-source publicly known encryption scheme that's out there for
all to see and analyze. More eyes means less likely that the current
version doesn't have major vulnerabilities than something developed
in-house by non-experts.