Download.com og andre Bundle Superfish-Style HTTPS Breaking Adware

Innholdsfortegnelse:

Download.com og andre Bundle Superfish-Style HTTPS Breaking Adware
Download.com og andre Bundle Superfish-Style HTTPS Breaking Adware

Video: Download.com og andre Bundle Superfish-Style HTTPS Breaking Adware

Video: Download.com og andre Bundle Superfish-Style HTTPS Breaking Adware
Video: 🤩Amazing Bird Breeding Update | Finches | Softbills, Canary Birds, Budgies, Bird Aviary | S3:Ep2 - YouTube 2024, November
Anonim
Det er en skummelt tid å være en Windows-bruker. Lenovo var bundling HTTPS-hijacking Superfish-adware, Comodo-skip med et enda verre sikkerhetshull som heter PrivDog, og dusinvis av andre programmer som LavaSoft gjør det samme. Det er veldig ille, men hvis du vil at dine krypterte web-økter skal kapres, bare hodet til CNET-nedlastinger eller et hvilket som helst freeware-nettsted, fordi de alle sammen binder HTTPS-breaking adware nå.
Det er en skummelt tid å være en Windows-bruker. Lenovo var bundling HTTPS-hijacking Superfish-adware, Comodo-skip med et enda verre sikkerhetshull som heter PrivDog, og dusinvis av andre programmer som LavaSoft gjør det samme. Det er veldig ille, men hvis du vil at dine krypterte web-økter skal kapres, bare hodet til CNET-nedlastinger eller et hvilket som helst freeware-nettsted, fordi de alle sammen binder HTTPS-breaking adware nå.

Superfish-fiaskoen startet da forskerne la merke til at Superfish, samlet på Lenovo-datamaskiner, installerte et falskt rotsertifikat til Windows som i det hele tatt kapsler alle HTTPS-surfing slik at sertifikatene alltid ser gyldige ut, selv om de ikke er, og de gjorde det i en slik usikker måte at et hvilket som helst skriptkiddie hacker kunne oppnå det samme.

Og så installerer de en proxy i nettleseren din og tvinger all surfing gjennom den, slik at de kan sette inn annonser. Det er riktig, selv når du kobler deg til din bank eller helseforsikringsside, eller hvor som helst som skal være sikkert. Og du ville aldri vite, fordi de brøt Windows-kryptering for å vise deg annonser.

Men det triste, triste faktum er at de ikke er de eneste som gjør dette - Adware som Wajam, Geniusbox, Content Explorer og andre gjør det samme, installerer sine egne sertifikater og tvinger all surfing (inkludert HTTPS krypterte nettleser) for å gå gjennom proxy-serveren. Og du kan bli smittet med denne tullet ved å installere to av de 10 beste appene på CNET-nedlastinger.

Bunnlinjen er at du ikke lenger kan stole på det grønne låsikonet i nettleserens adressefelt. Og det er en skummelt, skummelt ting.

Hvordan HTTPS-Hijacking Adware fungerer, og hvorfor det er så ille

Image
Image

Som vi tidligere har vist, hvis du gjør den enorme gigantiske feilen ved å stole på CNET-nedlastinger, kan du allerede være smittet med denne typen adware. To av de ti beste nedlastingene på CNET (KMPlayer og YTD) bunter to forskjellige typer HTTPS-hijacking adware, og i vår forskning fant vi ut at de fleste andre freeware-nettsteder gjør det samme.

Merk:installatørene er så vanskelig og innviklede at vi ikke er sikre på hvem som er teknisk sett gjør "bundling", men CNET reklamerer disse appene på hjemmesiden deres, så det er egentlig et spørsmål om semantikk. Hvis du anbefaler at folk laster ned noe som er dårlig, er du like feil. Vi har også funnet ut at mange av disse adware-selskapene er hemmelig de samme som bruker forskjellige firmanavn.

Basert på nedlastingsnumrene fra topp 10-listen over CNET-nedlastinger alene, blir en million mennesker smittet hver måned med adware som kapsler deres krypterte websessioner til banken deres, eller e-post eller noe som skal være sikkert.

Hvis du gjorde feilen med å installere KMPlayer, og du klarer å ignorere alle de andre crapwareene, blir du presentert med dette vinduet. Og hvis du ved et uhell klikker Accept (eller klikker feil tast) blir systemet ditt pwned.

Hvis du endte opp med å laste ned noe fra en enda mer sketchy kilde, som nedlastingsannonsene i din favoritt søkemotor, ser du en hel liste med ting som ikke er bra. Og nå vet vi at mange av dem kommer til å helt bryte HTTPS sertifikat validering, slik at du er helt sårbar.
Hvis du endte opp med å laste ned noe fra en enda mer sketchy kilde, som nedlastingsannonsene i din favoritt søkemotor, ser du en hel liste med ting som ikke er bra. Og nå vet vi at mange av dem kommer til å helt bryte HTTPS sertifikat validering, slik at du er helt sårbar.
Når du får deg til å smitte med noen av disse tingene, er det første som skjer ved at det setter systemproxyen din til å kjøre gjennom en lokal proxy som den installerer på datamaskinen. Vær særlig oppmerksom på "Sikkert" elementet nedenfor. I dette tilfellet var det fra Wajam Internet "Enhancer", men det kan være Superfish eller Geniusbox eller noen av de andre som vi har funnet, de jobber på samme måte.
Når du får deg til å smitte med noen av disse tingene, er det første som skjer ved at det setter systemproxyen din til å kjøre gjennom en lokal proxy som den installerer på datamaskinen. Vær særlig oppmerksom på "Sikkert" elementet nedenfor. I dette tilfellet var det fra Wajam Internet "Enhancer", men det kan være Superfish eller Geniusbox eller noen av de andre som vi har funnet, de jobber på samme måte.
Image
Image

Når du går til et nettsted som skal være sikkert, ser du det grønne låsikonet, og alt ser perfekt ut. Du kan til og med klikke på låsen for å se detaljene, og det vil se ut som alt er bra. Du bruker en sikker tilkobling, og selv Google Chrome vil rapportere at du er koblet til Google med en sikker tilkobling. Men du er ikke!

System Alerts LLC er ikke et ekte rotcertifikat, og du går faktisk gjennom en proxy-server som setter inn annonser i sider (og hvem vet hva som er mer). Du bør bare sende dem alle passordene dine, det ville være lettere.

Når adware er installert og proxying all din trafikk, vil du begynne å se veldig motbydelige annonser over alt. Disse annonsene vises på sikre nettsteder, som Google, erstatter de faktiske Google-annonsene, eller de vises som popup-filer overalt, og overtar hvert nettsted.
Når adware er installert og proxying all din trafikk, vil du begynne å se veldig motbydelige annonser over alt. Disse annonsene vises på sikre nettsteder, som Google, erstatter de faktiske Google-annonsene, eller de vises som popup-filer overalt, og overtar hvert nettsted.
Mesteparten av denne adware viser "annonse" -koblinger til direkte malware. Så selv om adware i seg selv kan være en juridisk gener, aktiverer de noen virkelig, virkelig dårlige ting.
Mesteparten av denne adware viser "annonse" -koblinger til direkte malware. Så selv om adware i seg selv kan være en juridisk gener, aktiverer de noen virkelig, virkelig dårlige ting.

De oppnår dette ved å installere sine falske rotsertifikater i Windows-sertifikatbutikken og deretter proxying de sikre tilkoblingene mens de signerer dem med sitt falske sertifikat.

Hvis du ser på Windows-sertifikatpanelet, kan du se alle slags helt gyldige sertifikater … men hvis din PC har noen type adware installert, kommer du til å se falske ting som System Alerts, LLC eller Superfish, Wajam eller dusinvis av andre feil.

Selv om du har blitt smittet og fjernet skadedyret, kan sertifikatene fortsatt være der, noe som gjør deg utsatt for andre hackere som kan ha hentet private nøkler. Mange av adware-installatørene fjerner ikke sertifikatene når du avinstallerer dem.
Selv om du har blitt smittet og fjernet skadedyret, kan sertifikatene fortsatt være der, noe som gjør deg utsatt for andre hackere som kan ha hentet private nøkler. Mange av adware-installatørene fjerner ikke sertifikatene når du avinstallerer dem.

De er alle menneske-i-middel-angrep, og her er hvordan de fungerer

Hvis PC-en din har falske rotsertifikater installert i sertifikatbutikken, er du nå sårbar overfor Man-in-the-Middle-angrep. Hva dette betyr er at hvis du kobler til et offentlig hotspot, eller noen får tilgang til nettverket ditt, eller klarer å hacke noe oppstrøms fra deg, kan de erstatte legitime nettsteder med falske nettsteder. Dette kan høres langt, men hackere har vært i stand til å bruke DNS-hijacker på noen av de største nettstedene på nettet for å kapre brukere til et falskt nettsted.
Hvis PC-en din har falske rotsertifikater installert i sertifikatbutikken, er du nå sårbar overfor Man-in-the-Middle-angrep. Hva dette betyr er at hvis du kobler til et offentlig hotspot, eller noen får tilgang til nettverket ditt, eller klarer å hacke noe oppstrøms fra deg, kan de erstatte legitime nettsteder med falske nettsteder. Dette kan høres langt, men hackere har vært i stand til å bruke DNS-hijacker på noen av de største nettstedene på nettet for å kapre brukere til et falskt nettsted.

Når du er kapret, kan de lese alt som du sender til et privat nettsted - passord, privat informasjon, helseinformasjon, e-post, personnummer, bankinformasjon osv. Og du vet aldri fordi nettleseren din vil fortelle deg at forbindelsen din er sikker.

Dette fungerer fordi publisering av nøkkelkryptering krever både en offentlig nøkkel og en privat nøkkel. Offentlige nøkler er installert i sertifikatbutikken, og den private nøkkelen skal bare være kjent av nettstedet du besøker. Men når angripere kan kapre rotsertifikatet og holde både offentlige og private nøkler, kan de gjøre alt de vil.

I tilfelle av Superfish brukte de samme private nøkkel på hver datamaskin som har Superfish installert, og innen få timer kunne sikkerhetsforskere trekke ut private nøkler og lage nettsteder for å teste om du er sårbar og bevise at du kunne bli kapret. For Wajam og Geniusbox er nøklene forskjellige, men Content Explorer og en annen adware bruker også de samme nøklene overalt, noe som betyr at dette problemet ikke er unikt for Superfish.

Det blir verre: Det meste av denne crap deaktiverer HTTPS-validering helt

Bare i går oppdaget sikkerhetsforskere et enda større problem: Alle disse HTTPS-proxyene deaktiverer all validering mens den ser ut som alt er bra.

Det betyr at du kan gå til et HTTPS-nettsted som har et helt ugyldig sertifikat, og denne adware forteller deg at nettstedet er bra. Vi testet adware som vi nevnte tidligere, og de deaktiverer helt HTTPS-validering helt, så det spiller ingen rolle om private nøkler er unike eller ikke. Sjokkerende dårlig!

Alle som har installert adware er sårbare for alle slags angrep, og i mange tilfeller fortsetter å være sårbare selv når adware er fjernet.
Alle som har installert adware er sårbare for alle slags angrep, og i mange tilfeller fortsetter å være sårbare selv når adware er fjernet.

Du kan sjekke om du er sårbar overfor Superfish, Komodia eller ugyldig sertifikatkontroll ved hjelp av teststedet opprettet av sikkerhetsforskere, men som vi allerede har demonstrert, er det mye mer adware der ute som gjør det samme, og fra vår forskning, ting kommer til å fortsette å bli verre.

Beskytt deg selv: Kontroller sertifikatpanelet og slett dårlige oppføringer

Hvis du er bekymret, bør du sjekke sertifikatbutikken din for å forsikre deg om at du ikke har noen sketchy sertifikater installert som senere kan aktiveres av en persons proxy-server. Dette kan være litt komplisert, fordi det er mange ting der inne, og det meste skal være der. Vi har heller ikke en god liste over hva som burde og burde ikke være der.

Bruk WIN + R for å trekke opp Run-dialogboksen, og skriv deretter "mmc" for å trekke opp et Microsoft Management Console-vindu. Bruk deretter File -> Add / Remove Snap-ins og velg Sertifikater fra listen til venstre, og legg den til høyre. Pass på å velge Computer-konto i neste dialog, og klikk deretter resten.

  • Sendori
  • Purelead
  • Rocket Tab
  • Superfisk
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler er et legitimt utviklerverktøy, men malware har kapret sitt cert)
  • System Alerts, LLC
  • CE_UmbrellaCert

Høyreklikk og Slett noen av de oppføringene du finner. Hvis du så noe feil når du testet Google i nettleseren din, må du også slette den. Bare vær forsiktig, fordi hvis du sletter feil ting her, kommer du til å bryte Windows.

Image
Image

Vi håper at Microsoft løser noe for å sjekke rotsertifikatene dine og sørge for at bare gode er der. Teoretisk kan du bruke denne listen fra Microsoft av sertifikatene som kreves av Windows, og deretter oppdatere til de nyeste rotsertifikatene, men det er helt untested på dette punktet, og vi anbefaler ikke det før noen tester dette ut.

Deretter må du åpne nettleseren din og finne sertifikatene som trolig er cached der. For Google Chrome, gå til Innstillinger, Avanserte innstillinger og deretter Behandle sertifikater. Under Personlig kan du enkelt klikke på Fjern-knappen på eventuelle dårlige sertifikater …

Men når du går til Trusted Root Certification Authorities, må du klikke på Avansert og deretter fjerne merket for alt du ser for å slutte å gi tillatelser til det sertifikatet …
Men når du går til Trusted Root Certification Authorities, må du klikke på Avansert og deretter fjerne merket for alt du ser for å slutte å gi tillatelser til det sertifikatet …

Men det er galskap.

Gå til bunnen av vinduet Avanserte innstillinger og klikk på Tilbakestill innstillinger for å fullstendig nullstille Chrome til standardinnstillinger. Gjør det samme for hvilken annen nettleser du bruker, eller helt avinstaller, slett alle innstillinger, og installer den deretter på nytt.

Hvis datamaskinen din har blitt påvirket, er du sannsynligvis bedre i å gjøre en helt ren installasjon av Windows. Bare vær sikker på å sikkerhetskopiere dokumenter og bilder og alt dette.

Så hvordan beskytter du deg selv?

Det er nesten umulig å beskytte deg selv, men her er noen vanlige retningslinjer for å hjelpe deg ut:

  • Sjekk Superfish / Komodia / Sertifisering validering test nettstedet.
  • Aktiver Klikk-for-spill for programtillegg i nettleseren din, som vil beskytte deg mot alle de daglige Flash-flashene og andre plugin-sikkerhetshullene som finnes.
  • Vær veldig forsiktig med hva du laster ned og prøv å bruke Ninite når du absolutt må.
  • Vær oppmerksom på hva du klikker når du klikker.
  • Overvei å bruke Microsofts Utvidet Mitigation Experience Toolkit (EMET) eller Malwarebytes Anti-Exploit å beskytte nettleseren din og andre kritiske applikasjoner fra sikkerhetshull og nulldagsangrep.
  • Pass på at all programvare, plugin og anti-virus forblir oppdatert, og det inkluderer også Windows-oppdateringer.

Men det er en forferdelig masse arbeid for bare å surfe på nettet uten å bli kapret. Det er som å håndtere TSA.

Windows-økosystemet er en cavalcade av crapware. Og nå er den grunnleggende sikkerheten til Internett ødelagt for Windows-brukere. Microsoft må fikse dette.

Anbefalt:

Slik setter du opp og bruker Google Titan Key Bundle

Slik setter du opp og bruker Google Titan Key Bundle

Google har nylig utgitt et sett med sikkerhetsnøkler med to faktorautentisering (2FA), kalt Titan Security Bundle. Dette settet inneholder en tradisjonell USB-basert Universal Second Factor (U2F) -tast for bruk på en datamaskin og en kombinasjon Bluetooth / USB-nøkkel for mobil. Slik får du det hele oppsettet.

Poeng Awesome Games on the Cheap med Humble Indie Bundle

Poeng Awesome Games on the Cheap med Humble Indie Bundle

Poeng noen gode spill, DRM-fri og kryssplattform, til en betal-hva-du-vil-prisen ved å ta tak i en kopi av The Humble Indie Bundle # 2.

Passordgjenoppretting Bundle Standard Review, Giveaway & Download

Passordgjenoppretting Bundle Standard Review, Giveaway & Download

Password Recovery Bundle kan gjenopprette passord fra nettlesere, Microsoft-dokumenter, komprimerte filer, e-postprogrammer og en hvilken som helst kilde. Les omtale og last ned.

ESET Superfish Adware Cleaner tilgjengelig

ESET Superfish Adware Cleaner tilgjengelig

ESET Superfish Cleaner er et lite bærbart verktøy som forteller deg om du har Superfish installert på Windows PC og fjerner det helt.

Ultra Adware Killer: Fjern helt Adware og spor

Ultra Adware Killer: Fjern helt Adware og spor

Ultra Adware Killer er et gratis bærbart Adware Cleaner og fjerning verktøy som hjelper brukerne å fjerne Adware og deres spor fra Windows-systemer helt.