Download.com og andre Bundle Superfish-Style HTTPS Breaking Adware
Det er en skræmmende tid at være en Windows-bruger. Lenovo bundlede HTTPS-hijacking Superfish adware, Comodo-skibe med et endnu værre sikkerhedshul, der hedder PrivDog, og dusinvis af andre apps som LavaSoft gør det samme. Det er virkelig dårligt, men hvis du vil have dine krypterede websessioner til at blive kapret, skal du bare gå til CNET Downloads eller et hvilket som helst freeware websted, fordi de alle sammen bundler HTTPS-breaking adware nu.
Superfish-fiaskoen begyndte, da forskerne opdagede, at Superfish, der blev bundtet på Lenovo-computere, installerede et falsk rodcertifikat i Windows, der i det væsentlige kapsler alle HTTPS-browsere, så certifikaterne altid ser gyldige ud, selvom de ikke er, og de gjorde det i en sådan usikker måde at enhver script kiddie hacker kunne opnå det samme.
Og så installerer de en proxy i din browser og tvinger al din browsing gennem det, så de kan indsætte annoncer. Det er rigtigt, selv når du opretter forbindelse til din bank eller på en sygesikringsside eller hvor som helst der skal være sikkert. Og du ville aldrig vide, fordi de brød Windows-kryptering for at vise dig annoncer.
Men den triste, triste kendsgerning er, at de ikke er de eneste, der gør dette - Adware som Wajam, Geniusbox, Content Explorer og andre gør det samme, installerer deres egne certifikater og tvinger al din browsing (herunder HTTPS-krypterede browsersessioner) til at gå gennem deres proxyserver. Og du kan blive smittet med denne vrøvl ved at installere to af de 10 bedste apps på CNET Downloads.
Den nederste linje er, at du ikke længere kan stole på det grønne låsikon i browserens adresselinje. Og det er en skræmmende, skræmmende ting.
Sådan fungerer HTTPS-hijacking Adware, og hvorfor det er så dårligt
Ummm, jeg skal bruge dig til at gå videre og lukke fanen. Mmkay?Som vi tidligere har vist, hvis du gør den enorme gigantiske fejl ved at stole på CNET Downloads, kan du allerede være smittet med denne type adware. To af de ti bedste downloads på CNET (KMPlayer og YTD) bundler to forskellige typer af HTTPS-hijacking adware, og i vores forskning fandt vi ud af, at de fleste andre freeware sites gør det samme.
Bemærk: installatørerne er så besværlige og forfaldne, at vi ikke er sikre på hvem der er teknisk set gør "bundling", men CNET reklamerer disse apps på deres hjemmeside, så det er virkelig et spørgsmål om semantik. Hvis du anbefaler at folk downloader noget, der er dårligt, har du lige fejl. Vi har også fundet ud af, at mange af disse adware-virksomheder i hemmelighed er de samme, der bruger forskellige firmanavne.
Baseret på downloadnumre fra top 10-listen på CNET Downloads alene, er en million mennesker smittet hver måned med adware, der kapsler deres krypterede websessioner til deres bank eller e-mail eller noget der skal være sikkert.
Hvis du har lavet fejlen ved at installere KMPlayer, og du klarer at ignorere alle de andre crapware, bliver du præsenteret med dette vindue. Og hvis du ved et uheld klikker Accept (eller klik på den forkerte nøgle) bliver dit system pwned.
Download websteder skal skamme sig over sig selv.Hvis du endte med at downloade noget fra en endnu mere skitseret kilde, som downloadannoncerne i din yndlings søgemaskine, kan du se en hel liste over ting, der ikke er gode. Og nu ved vi, at mange af dem vil helt ødelægge HTTPS certifikat validering, hvilket giver dig fuldstændig sårbar.
Lavasoft Web Companion bryder også HTTPS kryptering, men denne bundler installerede adware også.Når du først bliver smittet af en af disse ting, er det første, der sker, at det angiver din systemproxy for at køre gennem en lokal proxy, som den installerer på din computer. Vær særlig opmærksom på "Sikker" elementet nedenfor. I dette tilfælde var det fra Wajam Internet "Enhancer", men det kunne være Superfish eller Geniusbox eller nogen af de andre, vi har fundet, de arbejder alle sammen på samme måde.
Det er ironisk, at Lenovo brugte ordet "forbedre" for at beskrive Superfish.Når du går til et websted, der skal være sikkert, vil du se det grønne låsikon, og alt ser perfekt ud. Du kan endda klikke på låsen for at se detaljerne, og det ser ud til at alt er fint. Du bruger en sikker forbindelse, og selv Google Chrome vil rapportere, at du er forbundet til Google med en sikker forbindelse. Men det er du ikke!
System Alerts LLC er ikke et rigtigt rodcertifikat, og du går faktisk igennem en mand-i-middel-proxy, der indsætter annoncer på sider (og hvem ved hvad der er mere). Du skal bare sende dem alle dine adgangskoder, det ville være lettere.
System Alert: Dit system er blevet kompromitteret.Når adware er installeret og proxying al din trafik, vil du begynde at se virkelig modbydelige annoncer overalt. Disse annoncer vises på sikre websteder, som Google, og erstatter de faktiske Google-annoncer, eller de vises som popups overalt og overtager hvert websted.
Jeg vil gerne have min Google uden malware links, tak.Det meste af denne adware viser "annonce" -links til direkte malware. Så selv om adware selv kan være en juridisk gener, aktiverer de nogle virkelig, virkelig dårlige ting.
De opnår dette ved at installere deres falske root certifikater i Windows certifikat butik og derefter proxying de sikre forbindelser, mens de underskriver dem med deres falske certifikat.
Hvis du kigger i panelet Windows Certificates, kan du se alle slags helt gyldige certifikater ... men hvis din pc har en eller anden type adware installeret, vil du se falske ting som System Alerts, LLC eller Superfish, Wajam eller snesevis af andre fejl.
Er det fra paraplyfirmaet?Selvom du er blevet smittet og derefter fjernet det onde, kan certifikaterne stadig være der, hvilket gør dig udsat for andre hackere, der måske har udtaget private nøgler. Mange af adwareinstallatørerne fjerner ikke certifikaterne, når du afinstallerer dem.
De er alle menneske-i-midterangreb, og her arbejder de
Dette er fra et rigtigt levende angreb af den fantastiske sikkerhedsforsker Rob GrahamHvis din pc har falske rodcertifikater installeret i certifikatforretningen, er du nu sårbar over for Man-in-the-Middle angreb. Hvad det betyder er, at hvis du opretter forbindelse til et offentligt hotspot, eller hvis nogen får adgang til dit netværk eller klarer at hakke noget opstrøms fra dig, kan de erstatte legitime websteder med falske websteder. Dette kan måske lyde langt, men hackere har været i stand til at bruge DNS-hijacks på nogle af de største websteder på nettet for at kapre brugere til et falsk websted.
Når du er kapret, kan de læse alle ting, du sender til et privat websted - adgangskoder, privat information, sundhedsoplysninger, e-mails, socialsikringsnumre, bankoplysninger osv. Og du ved aldrig, fordi din browser fortæller dig at din forbindelse er sikker.
Dette virker, fordi den offentlige nøgle kryptering kræver både en offentlig nøgle og en privat nøgle. De offentlige nøgler er installeret i certifikatbutikken, og den private nøgle skal kun kendes af det websted, du besøger. Men når angriberne kan kapre dit rodcertifikat og holde både offentlige og private nøgler, kan de gøre alt, hvad de vil.
I tilfælde af Superfish brugte de samme private nøgle på hver computer, der har Superfish installeret, og inden for et par timer kunne sikkerhedsforskere udtrække de private nøgler og oprette websteder for at teste om du er sårbar og bevise at du kunne blive kapret. For Wajam og Geniusbox er nøglerne forskellige, men Content Explorer og nogle andre adware bruger også de samme nøgler overalt, hvilket betyder, at dette problem ikke er unikt for Superfish.
Det bliver værre: Det meste af denne crap deaktiverer HTTPS validering helt
I går har sikkerhedsforskere opdaget et endnu større problem: Alle disse HTTPS-proxyer deaktiverer al validering, mens det ser ud som om alting er fint.
Det betyder at du kan gå til et HTTPS-websted, der har et helt ugyldigt certifikat, og denne adware fortæller dig, at webstedet er helt fint. Vi testede adware, som vi nævnte tidligere, og de deaktiverer helt HTTPS-validering helt, så det er ligegyldigt, om de private nøgler er unikke eller ej. Shockingly dårlig!
Alt dette adware bryder helt op på certifikat kontrol.Enhver med adware installeret er sårbar for alle mulige angreb, og i mange tilfælde fortsætter med at være sårbar, selv når adware er fjernet.
Du kan kontrollere, om du er sårbar over for Superfish, Komodia eller ugyldig certifikatkontrol ved hjælp af testwebstedet, der er oprettet af sikkerhedsforskere, men som vi allerede har demonstreret, er der meget mere adware derude, der gør det samme, og fra vores forskning , tingene vil fortsætte med at blive værre.
Beskyt dig selv: Kontroller certifikatpanelet og slettet dårlige poster
Hvis du er bekymret, bør du tjekke din certifikat butik for at sikre dig, at du ikke har nogle skitserede certifikater installeret, der senere kunne aktiveres af en persons proxyserver. Det kan være lidt kompliceret, fordi der er mange ting derinde, og det meste skal være der. Vi har heller ikke en god liste over, hvad der skal og burde ikke være der.
Brug WIN + R til at trække op i dialogboksen Kør, og skriv derefter "mmc" for at hente et Microsoft Management Console-vindue. Brug derefter File -> Add / Remove Snap-ins og vælg Certifikater fra listen til venstre, og tilføj det til højre side. Sørg for at vælge Computer-konto i den næste dialog, og klik derefter på resten.
Du vil gerne gå til Trusted Root Certification Authorities og kigge efter virkelig skitserede poster som nogen af disse (eller noget der ligner disse)
- Sendori
- Purelead
- Rocket Tab
- Super fisk
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler er et legitimt udviklingsværktøj, men malware har kapret deres cert)
- System Alerts, LLC
- CE_UmbrellaCert
Højreklik og Slet nogle af de poster, du finder. Hvis du så noget forkert, da du testede Google i din browser, skal du sørge for at slette den også. Bare vær forsigtig, fordi hvis du sletter de forkerte ting her, skal du bryde Windows.
Vi håber, at Microsoft frigiver noget for at kontrollere dine rodcertifikater og sørge for, at kun gode er der. Teoretisk kan du bruge denne liste fra Microsoft af de certifikater, der kræves af Windows, og derefter opdatere til de nyeste rodcertifikater, men det er helt uprøvet på dette tidspunkt, og vi anbefaler det ikke, før nogen tester dette ud.
Dernæst skal du åbne din webbrowser og finde de certifikater, der sandsynligvis er cachelagrede der. For Google Chrome skal du gå til Indstillinger, Avancerede indstillinger og derefter Administrer certifikater. Under Personlig kan du nemt klikke på knappen Fjern på eventuelle dårlige certifikater ...
Men når du går til Trusted Root Certification Authorities, skal du klikke på Advanced og derefter fjerne markeringen af alt, hvad du ser for at stoppe med at give tilladelser til certifikatet ...
Men det er sindssyge.
Gå til bunden af vinduet Avancerede indstillinger, og klik på Nulstil indstillinger for at nulstille Chrome til standardindstillingerne helt. Gør det samme for den anden browser, du bruger, eller afinstaller helt, fjern alle indstillinger, og installer den igen.
Hvis din computer er blevet påvirket, er du sikkert bedre at lave en helt ren installation af Windows. Bare sørg for at sikkerhedskopiere dine dokumenter og billeder og alt det.
Så hvordan beskytter du dig selv?
Det er næsten umuligt at beskytte dig selv helt, men her er et par almindelige sans retningslinjer for at hjælpe dig ud:
- Tjek Superfish / Komodia / Certification validation test site.
- Aktivér Click-to-Play til plugins i din browser, hvilket vil hjælpe dig med at beskytte dig mod alle disse nul-dags Flash og andre pluginsikkerhedshuller der er.
- Vær meget forsigtig med hvad du downloader og prøv at bruge Ninite, når du absolut skal.
- Vær opmærksom på, hvad du klikker, når du klikker.
- Overvej at bruge Microsofts Enhanced Mitigation Experience Toolkit (EMET) eller Malwarebytes Anti-Exploit til at beskytte din browser og andre kritiske applikationer fra sikkerhedshuller og nul-dag angreb.
- Sørg for, at al din software, plugins og anti-virus forbliver opdaterede, og det inkluderer også Windows-opdateringer.
Men det er en forfærdelig masse arbejde, fordi du bare vil surfe på internettet uden at blive kapret. Det er som at håndtere TSA.
Windows-økosystemet er en cavalcade af crapware. Og nu er den grundlæggende sikkerhed for internettet brudt for Windows-brugere. Microsoft skal rette op på dette.