Преди няколко дни стана известно, че китайската компания Lenovo още от месец септември 2014 година инсталира в произвежданите от нея лаптопи adware и MiTM-проксито Superfish, което
компрометира SSL-връзките на всички браузъри, освен на Firefox.
Хакерът Робърт Греъм (Robert Graham) е успял да извлече CA-сертификата на Superfish и неговият шифроващ ключ, както и паролата, с помощта на която е генериран сертификата.
Изпълнимият код на фирмения троянец Superfish е компресиран и шифриран, което наложило използването на дебъгера IDApro за запис на активността на програмата точно в момента, когато се разшифрова. Сред получения по този начин дъмп на паметта той забелязал блок от символи, започващи с реда „“PRIVATE KEY“.
Вижда се, че се използва двойно шифриране, при което шифроващият ключ също е зашифрован с парола. Хакерът написал програмата pemcrack за разшифроване на SSL PEM файловете, сорс-кодът на която е публикуван в Github.
Хакерът предположил, че паролата би трябвало да се намира някъде из дъмпа на паметта и го използвал като речник, в който присъствали 2203 думи. Програмата дала верния отговор само след 10 секунди. Паролата е „komodia“.
Знаейки паролата, можем да използваме шифроващия ключ и сертификата за дистанционно управляване на фирмения троянец Superfish.