Download.com i drugi Bundle Superfish-style HTTPS Breaking Adware

Sadržaj:

Download.com i drugi Bundle Superfish-style HTTPS Breaking Adware
Download.com i drugi Bundle Superfish-style HTTPS Breaking Adware

Video: Download.com i drugi Bundle Superfish-style HTTPS Breaking Adware

Video: Download.com i drugi Bundle Superfish-style HTTPS Breaking Adware
Video: Keep Calm: Supporting Your Emotional Health During the Pandemic - YouTube 2024, Travanj
Anonim
To je zastrašujuće vrijeme za Windows korisnika. Lenovo je snabdijevao HTTPS otimanje Superfish adwarea, Comodo ima još gore sigurnosnu rupu nazvanu PrivDog, a desetke drugih aplikacija poput LavaSoft rade isto. Stvarno je loše, ali ako želite da vaše šifrirane web sjednice budu otkinute, jednostavno idite na CNET Preuzimanja ili bilo koji besplatni web-lokacija jer svi oni sada povezuju HTTPS-adware.
To je zastrašujuće vrijeme za Windows korisnika. Lenovo je snabdijevao HTTPS otimanje Superfish adwarea, Comodo ima još gore sigurnosnu rupu nazvanu PrivDog, a desetke drugih aplikacija poput LavaSoft rade isto. Stvarno je loše, ali ako želite da vaše šifrirane web sjednice budu otkinute, jednostavno idite na CNET Preuzimanja ili bilo koji besplatni web-lokacija jer svi oni sada povezuju HTTPS-adware.

Fleksibilnost Superfisha započela je kada su istraživači primijetili da je Superfish u paketu s Lenovo računalima instalirao lažni certifikat korijena u sustav Windows koji u suštini otima sve HTTPS pregledavanje, tako da se certifikati uvijek izgledaju valjanima čak i ako nisu i to su učinili na takvom nesiguran način da bilo koji skriptni kiddie haker može postići istu stvar.

A onda instaliraju proxy u preglednik i prisiljavaju sve vaše pregledavanje tako da mogu umetnuti oglase. To je u redu, čak i kada se povežete s bankom ili mjestom zdravstvenog osiguranja ili s bilo kojeg mjesta koja bi trebala biti sigurna. I nikada ne biste znali jer su razbili Windows šifriranje da bi vam prikazali oglase.

Ali tužna, tužna činjenica je da nisu jedini koji to rade - adware kao što su Wajam, Geniusbox, Content Explorer i ostali rade točno ista stvar, instalirajući svoje vlastite certifikate i prisilivši sve vaše pregledavanje (uključujući HTTPS kriptirane pregledavanje) da prođu kroz proxy poslužitelj. I možete dobiti zaražene tom glupošću samo instaliranjem dviju top 10 aplikacija na CNET preuzimanjima.

Dno crta je da više ne možete imati povjerenja u ikonu zelene brave u adresnoj traci preglednika. I to je zastrašujuće, zastrašujuće.

Kako funkcionira HTTPS-ometanje adwarea i zašto je tako loša

Image
Image

Kao što smo ranije pokazali, ako napravite veliku gigantsku pogrešku povjerenja u CNET Downloads, već biste mogli biti zaraženi ovoj vrsti adwarea. Dva od deset najboljih preuzimanja na CNET (KMPlayer i YTD) povezuju dvije različite vrste HTTPS otmice adwarea, au našem istraživanju otkrili smo da većina drugih freeware stranica rade istu stvar.

Bilješka:instalatori su tako lukav i zbunjeni da nismo sigurni tko je tehnički radeći "bundling", ali CNET promovira te aplikacije na svojoj početnoj stranici, pa je to stvar semantike. Ako preporučujete da korisnici preuzmu nešto loše, jednako ste krivi. Također smo otkrili da su mnoge od tih tvrtki koje se bave reklamama potajno isti ljudi koji koriste različite nazive tvrtki.

Na temelju brojeva preuzimanja s top 10 popisa na preuzimanju CNET-a, milijun je ljudi zaraženo svaki mjesec s adwareom koji otima svoje šifrirane web sjednice u svoju banku ili e-poštu ili bilo što što bi trebalo biti sigurno.

Ako ste pogriješili instalirajte KMPlayer i uspjeli zanemariti sve ostale crapware, bit će vam predstavljen ovaj prozor. A ako slučajno kliknete Prihvati (ili pogodite pogrešnu tipku), vaš će sustav biti pwned.

Ako ste završili s preuzimanjem nečega iz još više izvornog izvora, poput preuzimanja oglasa u vašoj omiljenoj tražilici, vidjet ćete čitav popis stvari koje nisu dobre. I sada znamo da će mnogi od njih potpuno ukinuti provjeru valjanosti HTTPS certifikata, ostavljajući vas potpuno ranjivim.
Ako ste završili s preuzimanjem nečega iz još više izvornog izvora, poput preuzimanja oglasa u vašoj omiljenoj tražilici, vidjet ćete čitav popis stvari koje nisu dobre. I sada znamo da će mnogi od njih potpuno ukinuti provjeru valjanosti HTTPS certifikata, ostavljajući vas potpuno ranjivim.
Kada se dobijete zaraženi bilo kojom od tih stvari, prva stvar koja se dogodi jest da postavlja vaš proxy sustava da se pokrene putem lokalnog proxyja koji instalira na vaše računalo. Obratite posebnu pozornost na "Sigurno" stavku u nastavku. U ovom slučaju to je bio iz Wajam Internet "Enhancer", ali to bi mogao biti Superfish ili Geniusbox ili bilo koji drugi koji smo pronašli, svi rade na isti način.
Kada se dobijete zaraženi bilo kojom od tih stvari, prva stvar koja se dogodi jest da postavlja vaš proxy sustava da se pokrene putem lokalnog proxyja koji instalira na vaše računalo. Obratite posebnu pozornost na "Sigurno" stavku u nastavku. U ovom slučaju to je bio iz Wajam Internet "Enhancer", ali to bi mogao biti Superfish ili Geniusbox ili bilo koji drugi koji smo pronašli, svi rade na isti način.
Image
Image

Kada krenete na web mjesto koje treba biti sigurno, vidjet ćete ikonu zelene blokade i sve će izgledati savršeno normalno. Možete čak i kliknuti na zaključavanje da biste vidjeli detalje, i pojavit će se da je sve u redu. Upotrebljavate sigurnu vezu, pa čak i Google Chrome izvješćuje da ste povezani s Googleom putem sigurne veze. Ali niste!

Sustav Alerts LLC nije pravi certifikat korijena, a vi zapravo prolazite kroz proxy koji je umetnut u stranice (i tko zna što drugo). Trebali biste samo poslati e-poštu svim svojim lozinkama, to bi bilo lakše.

Jednom kada se adware instalira i proxying cijeli svoj promet, početi ćete vidjeti stvarno odvratno oglase po cijelom mjestu. Ti se oglasi prikazuju na sigurnim web mjestima, poput Googlea, zamjenjuju stvarne Google oglase ili se prikazuju kao skočni prozori po cijelom mjestu, preuzimajući svaku web-lokaciju.
Jednom kada se adware instalira i proxying cijeli svoj promet, početi ćete vidjeti stvarno odvratno oglase po cijelom mjestu. Ti se oglasi prikazuju na sigurnim web mjestima, poput Googlea, zamjenjuju stvarne Google oglase ili se prikazuju kao skočni prozori po cijelom mjestu, preuzimajući svaku web-lokaciju.
Većina ovog adwarea prikazuje veze "oglasa" na izravno zlonamjerni softver. Dakle, dok sam prijemnik može biti pravni smetnja, oni omogućuju neke stvarno, stvarno loše stvari.
Većina ovog adwarea prikazuje veze "oglasa" na izravno zlonamjerni softver. Dakle, dok sam prijemnik može biti pravni smetnja, oni omogućuju neke stvarno, stvarno loše stvari.

To postižu tako da instalirate svoje lažne certifikate korijena u Windows trgovinu potvrda, a zatim proxyju sigurnim vezama dok ih potpišu s njihovim lažnim certifikatom.

Ako pogledate na ploči certifikata sustava Windows, možete vidjeti sve vrste potpuno valjanih potvrda … ali ako vaše računalo ima neku vrstu adwarea instaliran, vidjet ćete lažne stvari poput System Alerts, LLC ili Superfish, Wajam ili desetke drugih krivotvorina.

Čak i ako ste zaraženi, a zatim uklonili zlonamjerni softver, potvrde još uvijek mogu biti dostupne, što vam čini ranjivim drugim hakerima koji su možda izdvojili privatne ključeve. Mnogi instaleri adwarea ne uklanjaju certifikate kada ih deinstalirate.
Čak i ako ste zaraženi, a zatim uklonili zlonamjerni softver, potvrde još uvijek mogu biti dostupne, što vam čini ranjivim drugim hakerima koji su možda izdvojili privatne ključeve. Mnogi instaleri adwarea ne uklanjaju certifikate kada ih deinstalirate.

Svi su ljudi u srednjim napadima i evo kako rade

Ako vaše računalo ima lažne certifikate korijena instalirane u trgovini potvrda, sada ste osjetljivi na napade na čovjeka u sredini. Što to znači ako se povežete s javnom hotspotom ili netko dobije pristup svojoj mreži ili uspije hakirati nešto od vas, mogu zamijeniti legitimne web stranice s lažnim web mjestima. To bi moglo zvučati daleko, ali hakeri su mogli iskoristiti DNS otmice na nekim od najvećih web stranica na webu kako bi otelili korisnike na lažnu stranicu.
Ako vaše računalo ima lažne certifikate korijena instalirane u trgovini potvrda, sada ste osjetljivi na napade na čovjeka u sredini. Što to znači ako se povežete s javnom hotspotom ili netko dobije pristup svojoj mreži ili uspije hakirati nešto od vas, mogu zamijeniti legitimne web stranice s lažnim web mjestima. To bi moglo zvučati daleko, ali hakeri su mogli iskoristiti DNS otmice na nekim od najvećih web stranica na webu kako bi otelili korisnike na lažnu stranicu.

Nakon što oteti, mogu čitati svaku pojedinačnu stvar koju šaljete na privatnu web lokaciju - lozinke, privatne podatke, informacije o zdravlju, e-poštu, brojeve socijalnog osiguranja, bankovne podatke itd. Nikada nećete znati jer će vam vaš preglednik reći da je vaša veza sigurna.

To funkcionira jer šifriranje javnog ključa zahtijeva i javni ključ i privatni ključ. Javni ključevi instalirani su u spremištu certifikata, a privatni ključ treba biti poznat samo putem web stranice koju posjećujete. No, kada napadači mogu oteti vašu korijensku potvrdu i imaju javne i privatne ključeve, mogu učiniti sve što žele.

U slučaju Superfisha koristili su isti privatni ključ na svakom računalu na kojem je instaliran Superfish, a za nekoliko sati istraživači sigurnosti uspjeli su izdvojiti privatne ključeve i stvoriti web stranice za testiranje jesu li ranjivi i dokazati da biste mogli biti otet. Za Wajam i Geniusbox, ključevi su različiti, ali Content Explorer i neki drugi adware također koriste iste ključeve svugdje, što znači da ovaj problem nije jedinstven za Superfish.

Poboljšava se: Većina ovog sranja isključuje HTTPS provjernu cjelinu

Tek jučer, istraživači sigurnosti otkrili su još veći problem: svi ovi HTTPS proksiji onemogućuju svu provjeru valjanosti, a čini se da je sve u redu.

To znači da možete otići na HTTPS web stranicu koja ima potpuno nevaljan certifikat, a ovaj adware će vam reći da je stranica sasvim u redu. Testirali smo adware koji smo ranije spomenuli i potpuno onemogućuju HTTPS provjera valjanosti, pa nije bitno da li su privatni ključevi jedinstveni ili ne. Šokantno loše!

Svatko s instaliranim oglasnim programima ranjiva se na sve vrste napada i u mnogim slučajevima i dalje je ranjiva čak i kada se ukloni adware.
Svatko s instaliranim oglasnim programima ranjiva se na sve vrste napada i u mnogim slučajevima i dalje je ranjiva čak i kada se ukloni adware.

Možete provjeriti jesu li ranjivi na Superfish, Komodia ili nevažeću provjeru certifikata pomoću web mjesta za testiranje koje su stvorili istraživači sigurnosti, no kao što smo već pokazali, postoji mnogo više adwarea koji rade isto, a iz našeg istraživanja, stvari će se i dalje pogoršavati.

Zaštitite se: Provjerite ploču certifikata i izbrišite pogrešne unose

Ako ste zabrinuti, trebali biste provjeriti trgovinu svjedodžbe kako biste bili sigurni da nemate instalirane certifikat za skice koje bi kasnije mogao aktivirati nečiji proxy poslužitelj. To može biti malo komplicirano, jer tu ima puno stvari, a većina toga bi trebala biti tamo. Također nemamo dobar popis onoga što bi trebalo i ne bi smjelo biti tamo.

Upotrijebite WIN + R da biste pokrenuli dijalog Run, a zatim upišite "mmc" da biste podigli prozor Microsoft Management Console. Zatim upotrijebite File -> Add / Remove Snap-Ins i odaberite Certifikati s popisa slijeva, a zatim je dodajte na desnu stranu. Svakako odaberite račun Račun na sljedećem dijaloškom okviru, a zatim kliknite ostatak.

  • Sendori
  • Purelead
  • Rocket Tab
  • Super riba
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler je legitiman alat za razvojne programere, ali zlonamjerni softver je otet njihovu certifikatu)
  • System Alerts, LLC
  • CE_UmbrellaCert

Desnom tipkom miša kliknite i izbrišite sve one unose koje ste pronašli. Ako ste vidjeli nešto netočno kada ste testirali Google u pregledniku, svakako izbrisati taj unos. Samo budite oprezni, jer ako ovdje izbrišete pogrešne stvari, razbiti ćete sustav Windows.

Nadamo se da će Microsoft izdati nešto kako bi provjerili vaše korijenske certifikate i uvjerite se da postoje samo dobri. Teoretski možete upotrijebiti Microsoftov popis certifikata koje zahtijeva sustav Windows, a zatim ažurirati na najnovije potvrde korijena, ali to u ovom trenutku potpuno nije provjereno, a mi ga ne preporučujemo dok netko to ne testira.
Nadamo se da će Microsoft izdati nešto kako bi provjerili vaše korijenske certifikate i uvjerite se da postoje samo dobri. Teoretski možete upotrijebiti Microsoftov popis certifikata koje zahtijeva sustav Windows, a zatim ažurirati na najnovije potvrde korijena, ali to u ovom trenutku potpuno nije provjereno, a mi ga ne preporučujemo dok netko to ne testira.

Zatim ćete morati otvoriti web-preglednik i pronaći potvrde koje su vjerojatno spremljene tamo. Za Google Chrome idite na Postavke, Napredne postavke, a zatim Upravljanje certifikatima. U odjeljku Osobno možete jednostavno kliknuti gumb Ukloni za sve loše potvrde …

Ali kada idete u Pouzdana ovlaštenja za certificiranje korijena, morat ćete kliknuti Napredno, a zatim poništiti sve što vidite da biste prestali davati dozvole za taj certifikat …
Ali kada idete u Pouzdana ovlaštenja za certificiranje korijena, morat ćete kliknuti Napredno, a zatim poništiti sve što vidite da biste prestali davati dozvole za taj certifikat …

Ali to je ludost.

Idite na dno prozora Naprednih postavki i kliknite Ponovno postavljanje postavki da biste potpuno resetirali Chrome na zadane postavke. Učinite isto za bilo koji drugi preglednik koji koristite ili potpuno deinstaliraj, brisanje svih postavki, a zatim je ponovno instalirajte.

Ako ste pogođeni s vašim računalom, vjerojatno ste bolje od potpuno čiste instalacije sustava Windows. Samo pazite da sigurnosno kopirate dokumente i slike i sve to.

Pa kako se zaštitite?

Gotovo je nemoguće u potpunosti zaštititi sebe, ali evo nekoliko smjernica koje vam mogu pomoći:

  • Provjerite web mjesto testiranja za provjeru valjanosti Superfish / Komodia / Certification.
  • Omogućite klikni za reprodukciju dodataka u pregledniku, što će vam pomoći u zaštiti od svih onih nultih dnevnih bljeskalica i drugih sigurnosnih utora za dodatke.
  • Budite jako pažljivi što preuzimate i pokušate koristiti Ninite kada apsolutno morate.
  • Obratite pažnju na ono što kliknete bilo kada kliknete.
  • Razmislite o korištenju Microsoftovog Enhanced Mitigation Experience Toolkit (EMET) ili Malwarebytes Anti-Exploit kako biste zaštitili svoj preglednik i druge kritične aplikacije iz sigurnosnih rupa i nuldodnevnih napada.
  • Provjerite je li sve vaše softver, dodatke i protuvirusni programi ažurirani, a to uključuje i ažuriranja sustava Windows.

Ali to je užasno puno posla jer samo želi pregledavati web bez otuđenja. To je kao da se bave TSA.

Windows ekosustav je kavalkada od crapwarea. A sada je osnovna sigurnost interneta pokvarena za korisnike Windowsa. Microsoft mora ovo riješiti.

Preporučeni:

Brzo prevođenje teksta u drugi jezik u programu Word 2007

Brzo prevođenje teksta u drugi jezik u programu Word 2007

Istraživački okvir u programu Word 2007 može vam pomoći da lako prevedete tekst na druge jezike, koristeći dvojezične rječnike koje pokreće WordLingo.com.

Ocjena Awesome Igre na jeftini s skromnim Indie Bundle

Ocjena Awesome Igre na jeftini s skromnim Indie Bundle

Ocijenite neke sjajne igre, bez DRM-a i cross-platforma, na cijenu koja vam je potrebna, tako što ćete zgrabiti kopiju The Humble Indie Bundle # 2.

Kako popraviti Photoshop Breaking Escape ključ u sustavu Windows

Kako popraviti Photoshop Breaking Escape ključ u sustavu Windows

Da li vam Photoshop smeta razbijanjem ključa za bijeg u drugim programima? Evo AutoHotkey skripte koja će vam omogućiti pokretanje programa Photoshop i još uvijek koristiti tipku za bijeg kao i obično u drugim programima.

Na raspolaganju je ESET Superfish Adware Cleaner

Na raspolaganju je ESET Superfish Adware Cleaner

ESET Superfish Cleaner je mali prijenosni alat koji vam odmah govori ako imate Superfish instaliran na Windows računalu i uklonite ga u potpunosti.

Ultra Adware ubojica: Potpuno uklonite adware i tragove

Ultra Adware ubojica: Potpuno uklonite adware i tragove

Ultra Adware Killer je besplatan prijenosni Adware čistač i uklanjanje alat koji pomaže korisnicima ukloniti Adware i njihove tragove iz sustava Windows potpuno.