Una mancata corrispondenza del nome del sito del certificato quando si utilizza il software Toshiba preinstallato? (Superfish?)

Naviga le tue risposte
2

Sul mio portatile Toshiba ci sono diversi programmi Toshiba preinstallati. Molti di loro sono una sorta di utility, ottimizzatore, controllo e aggiornamento di programmi che immagino siano comunemente chiamati bloatware.

Uno di questi programmi, in particolare, chiamato "Toshiba Laptop Checkup" tenta di eseguire il "check-up" ogni tanto automaticamente e, quando lo fa, viene visualizzato il seguente messaggio di errore:

Security Alert

A secure connection with this site cannot be verified. Would you still like to proceed? The certificate you are viewing does not match the name of the site you are trying to view.

Se faccio clic su "Mostra certificato", ricevo un certificato con le seguenti informazioni: 

Issued to: www.bcrea.bc.ca

Issued by: Go Daddy Secure Certificate Authority - G2

Valid from 3/10/2015 to 10/2/2017

Quando google www.bcrea.bc.ca , il risultato migliore è British Columbia Real Estate Association .

Questo è estremamente casuale e non correlato con me, e il "Toshiba Laptop Checkup", quindi cosa dà?

Ho letto questo articolo su Superfish . Mentre un sacco di informazioni là e altrove su Superfish sono sopra la mia testa, e io non capisco davvero i dettagli tecnici, ricordo che la vulnerabilità coinvolge certificati e software preinstallato sui computer. Anche questo mi ha fatto riflettere su cosa sta succedendo qui?

    
posta Churning Butter 30.03.2015 - 14:31
fonte

1 risposta

3

È difficile dirti esattamente cosa sta succedendo perché non sappiamo quale richiesta abbia effettivamente attivato il messaggio e tu lo faccia.

Ciò che sembra, tuttavia, è che per qualche ragione, una richiesta sicura destinata al server di aggiornamento di Toshiba è stata inviata a www.bcrea.bc.ca. Ci possono essere molte ragioni per questo, ma poche sono davvero incoraggianti:

  • Qualcosa nella risoluzione DNS viene sfruttato per reindirizzare le richieste su un sito Web diverso. Data la natura del sito web di destinazione (una società immobiliare), tale scopo potrebbe essere la pubblicità o un tentativo DDoS. Nota che questo potrebbe essere il risultato di un trojan installato localmente
    • .
  • Il server DNS di Toshiba (o, eventualmente, il CDN che gestisce il loro traffico) non è configurato correttamente e ti indirizza verso il torto (rete) posizione.
  • Il client di aggiornamento che stai utilizzando non interpreta correttamente la risposta che riceve dal server di aggiornamento di Toshiba e sta utilizzando un link inviato come annuncio come collegamento al contenuto effettivo che si aspetta.

A questo punto, è difficile dare ulteriori dettagli poiché non ci sono molte più informazioni. Ti suggerirei di considerare il tuo sistema come potenzialmente compromesso (l'esecuzione di un controllo AV sarebbe un primo passo). Puoi anche porre la domanda al supporto Toshiba: poiché sono quelli che ti hanno fornito lo strumento problematico, potrebbero aiutarti a capire cosa sta succedendo.

In ogni caso, tuttavia, non vedi il risultato di superfish (o software proxy di terminazione TLS simile) poiché i dettagli del certificato che hai fornito fanno riferimento a un CA ma un non valido nome host .

    
risposta data 30.03.2015 - 15:21
fonte

Leggi altre domande sui tag

sfruttando setuid e setgid bit Capire una richiesta HTTP sospetta