SuperfishがどうやってTCPレベルのインターセプトをしてるか。(SSL的な部分以外)
SSL的な部分で何をやらかしたかはこちらがわかりやすいです。http://d.hatena.ne.jp/nekoruri/20150220/superfish
そもそもどうやって/どのレベルで通信をフックしてるか気になったので調べたメモ。
WindowsのLSP/WFPを使ってTCP/IPレベルで全フックしてるので、ブラウザはIEだけに限らない模様。
kyab
@kyab212
仕組みの解説はこの辺かな。Komodia's SSL Decoder/Digesterが本丸で、Superfishはこのライブラリを使ってるだけぽい #superfish
2015-02-21 00:33:46
kyab
@kyab212
こいつか。Komodia's Redirector : The platform intercepts traffic (using LSP/WFP) on the local machine...web.archive.org/web/2014070608… #superfish
2015-02-21 00:49:12
kyab
@kyab212
Komodia's RedirectorはLSP/WFP(調べ中)を使ってTCP/IP通信をフック。Redirectorと強調して動作するKomodia's SSL Decoder/Digesterの組み合わせでさらにSSL/TLS通信までMITM。#superfish
2015-02-21 00:54:39
kyab
@kyab212
WFP=Windows Filtering Platform msdn.microsoft.com/ja-jp/library/… #Superfish
2015-02-21 00:57:23
kyab
@kyab212
LSP = Layerd Service Provider. Winsock2関連のモジュールか。en.wikipedia.org/wiki/Layered_S… #Superfish
2015-02-21 00:59:52
kyab
@kyab212
Komodia's RedirectorがTCP/IPをインターセプトするために使っているLSP/WFPはWindowsの拡張で、ファイアウォールとか(あとマルウェアが)使う機能の様子。まぁそれ自体はよくあるタイプか。#Superfish
2015-02-21 01:04:54