Download.com ja muut Bundle Superfish-Style HTTPS Breaking Adware

Sisällysluettelo:

Download.com ja muut Bundle Superfish-Style HTTPS Breaking Adware
Download.com ja muut Bundle Superfish-Style HTTPS Breaking Adware

Video: Download.com ja muut Bundle Superfish-Style HTTPS Breaking Adware

Video: Download.com ja muut Bundle Superfish-Style HTTPS Breaking Adware
Video: Thank god! Great ideas to solve the F1 issues - YouTube 2024, Huhtikuu
Anonim
Se on pelottava aika olla Windows-käyttäjä. Lenovo oli niputtamalla HTTPS-kaappauksen Superfish-mainosohjelmistoon, Comodo laittoi entistä pahemman tietoturva-aukon nimeltä PrivDog ja kymmeniä muita sovelluksia, kuten LavaSoft, tekevät samoin. Se on todella huono, mutta jos haluat, että salatut web-istuntojasi kaapataan, siirry CNET-latauksiin tai freeware-sivustoon, koska ne kaikki niputtavat HTTPS-rikkomatta adwarea nyt.
Se on pelottava aika olla Windows-käyttäjä. Lenovo oli niputtamalla HTTPS-kaappauksen Superfish-mainosohjelmistoon, Comodo laittoi entistä pahemman tietoturva-aukon nimeltä PrivDog ja kymmeniä muita sovelluksia, kuten LavaSoft, tekevät samoin. Se on todella huono, mutta jos haluat, että salatut web-istuntojasi kaapataan, siirry CNET-latauksiin tai freeware-sivustoon, koska ne kaikki niputtavat HTTPS-rikkomatta adwarea nyt.

Superfish fiasco alkoi, kun tutkijat huomasivat, että Superfish, Lenovon tietokoneissa mukana, asensi Windowsin väärennöksen varmenteen, joka olennaisesti kaappaa kaikki HTTPS-selaimet, jotta sertifikaatit näyttävät aina päteviltä, vaikka ne eivät olisikaan. turvattomalla tavalla, että jokainen skripti kiddie hakkeri voisi saada aikaan saman.

Ja sitten he asentavat välityspalvelimen selaimeesi ja pakottavat kaikki selauksesi läpi, jotta he voivat lisätä mainoksia. Tämä on oikein, vaikka muodostat yhteyden pankkiisi tai sairausvakuutussivustolle tai missä tahansa, minkä pitäisi olla turvassa. Etkä koskaan tiedä, koska he rikkoivat Windowsin salauksen näyttämään mainoksia.

Mutta surullinen, surullinen tosiasia on, että he eivät ole ainoita, jotka tekevät niin - mainosohjelmat kuten Wajam, Geniusbox, Content Explorer ja muut ovat kaikki samanlaisia, asentamalla omat varmenteet ja pakottamalla kaikki selauksesi (mukaan lukien HTTPS-salatut selaussanat) proxy-palvelimen kautta. Ja saatat saada tarttua tähän hölynpölyyn vain asentamalla kaksi top 10 sovellusta CNET Downloads.

Lähtökohtana on, että et voi enää luottaa vihreän lukon kuvaketta selaimen osoiteriville. Ja se on pelottava, pelottava asia.

Miten HTTPS-kaappaus-adware toimii ja miksi se on niin huono

Image
Image

Kuten aiemmin olemme osoittaneet, jos teet valtavan suuren erehdyksen CNET-latausten luottamuksesta, voisit jo saada tämän tyyppisen mainosohjelman. Kaksi top 10 latausta CNET (KMPlayer ja YTD) ovat niputtamalla kahta eri HTTPS-kaappaus adware, ja tutkimuksessamme todettiin, että useimmat muut freeware-sivustot tekevät samaa.

Huomautus:asentajat ovat niin hankalia ja röyhkeitä, ettemme ole varmoja kuka on teknisesti tekemällä "niputtamista", mutta CNET edistää näitä sovelluksia kotisivullaan, joten se on todella semantiikan kysymys. Jos suositat, että ihmiset lataavat jotain huonoa, olet myös väärässä. Olemme myös havainneet, että monet näistä mainosyrityksistä ovat salaa samoja ihmisiä, jotka käyttävät erilaisia yrityksen nimiä.

Yksittäisten CNET-latausten ylimmästä 10 luettelosta ladatun latausnumeron perusteella miljoona ihmistä on kuukausittain tartunnan saaneista mainosohjelmista, jotka kaappaavat salatut web-istunnot pankkiinsä tai sähköpostinsa tai mitä tahansa, mikä pitäisi olla turvallinen.

Jos olet tehnyt virheen KMPlayer-asennuksen virheestä ja voit sivuuttaa kaikki muutkin crapware-ohjelmat, sinun on esitettävä tämä ikkuna. Ja jos napsautat vahingossa Accept (tai painat väärää avainta), järjestelmääsi pwned.

Jos päätät ladata jotain entistä hämmästyttävämmästä lähteestä, kuten suosikkihakukoneesi lataamiesi mainosten, näet koko luettelon tavaroista, jotka eivät ole hyviä. Ja nyt tiedämme, että monet heistä murtaavat kokonaan HTTPS-sertifikaattien validoinnin, jolloin sinut täysin haavoittuvaksi.
Jos päätät ladata jotain entistä hämmästyttävämmästä lähteestä, kuten suosikkihakukoneesi lataamiesi mainosten, näet koko luettelon tavaroista, jotka eivät ole hyviä. Ja nyt tiedämme, että monet heistä murtaavat kokonaan HTTPS-sertifikaattien validoinnin, jolloin sinut täysin haavoittuvaksi.
Kun olet saanut itsesi tartunnan näistä asioista, ensimmäinen asia, joka tapahtuu, on se, että järjestelmäsi välityspalvelimen suoritetaan paikallisen välityspalvelimen kautta, jonka se asentaa tietokoneellesi. Kiinnitä erityistä huomiota alla olevaan "turvalliseen" kohtaan. Tässä tapauksessa se oli Wajam Internet "Enhancer", mutta se voi olla Superfish tai Geniusbox tai jokin muu, että olemme löytäneet, ne kaikki toimivat samalla tavalla.
Kun olet saanut itsesi tartunnan näistä asioista, ensimmäinen asia, joka tapahtuu, on se, että järjestelmäsi välityspalvelimen suoritetaan paikallisen välityspalvelimen kautta, jonka se asentaa tietokoneellesi. Kiinnitä erityistä huomiota alla olevaan "turvalliseen" kohtaan. Tässä tapauksessa se oli Wajam Internet "Enhancer", mutta se voi olla Superfish tai Geniusbox tai jokin muu, että olemme löytäneet, ne kaikki toimivat samalla tavalla.
Image
Image

Kun siirryt sivustoon, jonka pitäisi olla turvallinen, näet vihreän lukon kuvakkeen ja kaikki näyttää täysin normaalilta. Voit myös napsauttaa lukkoa nähdäksesi yksityiskohdat, ja näyttää siltä, että kaikki on kunnossa. Käytät suojattua yhteyttä, ja jopa Google Chrome ilmoittaa, että olet yhteydessä Googleen suojatulla yhteydellä. Mutta et ole!

System Alerts LLC ei ole todellinen juurivahvistustodistus, ja olet itse asiassa menossa Man-in-the-Middle välityspalvelimeen, joka lisää mainoksia sivuille (ja kuka tietää mitä muuta). Sinun pitäisi vain lähettää heille kaikki salasanasi, se olisi helpompaa.

Kun mainos on asennettu ja proxying kaikki liikenteen, sinun alkaa nähdä todella huudotonta mainoksia koko paikan. Nämä mainokset näkyvät suojatuissa sivustoissa, kuten Googlessa, korvaa varsinaiset Google-mainokset tai ne näkyvät ponnahdusikkunoissa koko paikan päällä.
Kun mainos on asennettu ja proxying kaikki liikenteen, sinun alkaa nähdä todella huudotonta mainoksia koko paikan. Nämä mainokset näkyvät suojatuissa sivustoissa, kuten Googlessa, korvaa varsinaiset Google-mainokset tai ne näkyvät ponnahdusikkunoissa koko paikan päällä.
Suurin osa tästä mainosohjelmasta näyttää "ad" linkkejä suoraan haittaohjelmiin. Joten mainosohjelmat saattavat olla oikeudellisia haittoja, ne mahdollistavat todella todella huonoja juttuja.
Suurin osa tästä mainosohjelmasta näyttää "ad" linkkejä suoraan haittaohjelmiin. Joten mainosohjelmat saattavat olla oikeudellisia haittoja, ne mahdollistavat todella todella huonoja juttuja.

He toteuttavat tämän asettamalla heidän väärennettyjen varmenteidensa Windows-varastomyymälään ja sitten turvautuneiden yhteyksien välityksellä allekirjoittamalla ne fake-todistuksellaan.

Jos tarkastelet Windowsin sertifikaattipaneelissa, näet kaikenlaisia täysin päteviä sertifikaatteja … mutta jos tietokoneessa on jonkin tyyppisiä mainosohjelmia asennettuna, näet väärennettyjä asioita kuten System Alerts, LLC tai Superfish, Wajam tai kymmeniä muita väärennöksiä.

Vaikka olet saastutte ja poistanut badware-tiedoston, sertifikaatit saattavat olla edelleen olemassa, joten sinut altistuu muille hakkereille, jotka saattavat poimia yksityiset avaimet. Monet mainosohjelmien asentajat eivät poista sertifikaatteja, kun poistat ne.
Vaikka olet saastutte ja poistanut badware-tiedoston, sertifikaatit saattavat olla edelleen olemassa, joten sinut altistuu muille hakkereille, jotka saattavat poimia yksityiset avaimet. Monet mainosohjelmien asentajat eivät poista sertifikaatteja, kun poistat ne.

He ovat kaikki ihmisiä keskellä hyökkäyksiä ja tässä he työskentelevät

Jos tietokoneellasi on väärennöksiä, jotka on asennettu varastosäilöön, olet nyt heikossa Man-in-the-Middle-hyökkäyksissä. Tämä tarkoittaa sitä, että jos muodostat yhteyden julkiseen hotspot-verkkoon tai joku saa verkostosi tai onnistuu hakemaan jotain ylhäältäpäin, he voivat korvata lailliset sivustot väärennetyillä sivustoilla. Tämä saattaisi kuulostaa kauaskantoiselta, mutta hakkerit ovat voineet käyttää DNS: n kaappauksia tietyillä verkkosivujen suurimmilla sivustoilla kaapata käyttäjät fake-sivustoon.
Jos tietokoneellasi on väärennöksiä, jotka on asennettu varastosäilöön, olet nyt heikossa Man-in-the-Middle-hyökkäyksissä. Tämä tarkoittaa sitä, että jos muodostat yhteyden julkiseen hotspot-verkkoon tai joku saa verkostosi tai onnistuu hakemaan jotain ylhäältäpäin, he voivat korvata lailliset sivustot väärennetyillä sivustoilla. Tämä saattaisi kuulostaa kauaskantoiselta, mutta hakkerit ovat voineet käyttää DNS: n kaappauksia tietyillä verkkosivujen suurimmilla sivustoilla kaapata käyttäjät fake-sivustoon.

Kun olet kaapattu, he voivat lukea jokaisen yksityisasiakkaalle lähettämääsi asiaa - salasanoja, yksityisiä tietoja, terveystietoja, sähköposteja, sosiaaliturvatunnuksia, pankkitietoja jne. Etkä koskaan tiedä, koska selaimesi kertoo sinulle että yhteys on turvallinen.

Tämä toimii, koska julkisen avaimen salaus vaatii sekä julkisen avaimen että yksityisen avaimen. Julkiset avaimet on asennettu varmennemyymälään, ja yksityinen avain on vain tunnettava vierailemalla verkkosivustolla. Mutta kun hyökkääjät voivat kaapata päävarmenne ja pitää sekä julkiset että yksityiset avaimet, he voivat tehdä mitä he haluavat.

Kun kyseessä oli Superfish, he käyttivät samaa yksityistä avainta jokaisessa tietokoneessa, johon Superfish on asennettu, ja muutaman tunnin kuluessa tietoturva-tutkijat pystyivät poimimaan yksityiset avaimet ja luomaan verkkosivustoja testatakseen, oletteko haavoittuvia ja osoittamaan, että voit kaapata. Wajamin ja Geniusboxin avaimet ovat erilaiset, mutta Content Explorer ja jotkin muut mainosohjelmat käyttävät samoja avaimia kaikkialla, mikä tarkoittaa, että tämä ongelma ei ole ainutlaatuinen Superfishille.

Se saa pahempaa: Suurin osa tästä roskasta poistaa HTTPS-validoinnin kokonaan

Juuri eilen tietoturva-tutkijat löysivät entistä suuremman ongelman: kaikki nämä HTTPS-välityspalvelimet poistavat kaiken validoinnin ja näyttävät siltä, että kaikki on hienosti.

Tämä tarkoittaa sitä, että voit siirtyä HTTPS-verkkosivustoon, jolla on täysin virheellinen todistus, ja tämä mainosviesti kertoo sivuston olevan aivan kunnossa. Testasimme aiemmin mainitsemamme mainosohjelmat, ja ne kaikki estävät HTTPS-validoinnin kokonaan, joten ei ole merkitystä, ovatko yksityiset avaimet ainutlaatuisia vai eivät. Tuskin huono!

Jokainen, jolla on asennettu adware, on altis kaikentyyppisille hyökkäyksille ja monissa tapauksissa voi olla haavoittuva myös silloin, kun mainos on poistettu.
Jokainen, jolla on asennettu adware, on altis kaikentyyppisille hyökkäyksille ja monissa tapauksissa voi olla haavoittuva myös silloin, kun mainos on poistettu.

Voit tarkistaa, oletko haavoittunut Superfishille, Komodiaan tai virheelliseen sertifikaattiin turvatutkimuskeskuksen luomalla testisivustolla, mutta kuten olemme jo osoittaneet, siellä on paljon enemmän mainosohjelmia, jotka tekevät samoin, ja tutkimuksistamme, asiat menevät edelleen huonontumaan.

Suojaudu: Tarkista Sertifikaattipaneeli ja poista virheelliset merkinnät

Jos olet huolissasi, sinun on tarkistettava varastosäilytyssi varmistaaksesi, että sinulla ei ole valmiita varmenteita, jotka jonkin proxy-palvelimen voi myöhemmin aktivoida. Tämä voi olla hieman monimutkainen, koska siellä on paljon tavaraa, ja suurin osa siitä on tarkoitus olla siellä. Meillä ei myöskään ole hyvää luetteloa siitä, mitä pitäisi ja ei pitäisi olla siellä.

Käytä WIN + R-näppäintä vetääksesi Suorita-valintaikkunan ja kirjoita sitten "mmc" vetämällä Microsoft Management Console -ikkuna. Käytä sitten Tiedosto -> Lisää / Poista snap-init ja valitse todistukset vasemmalla olevasta luettelosta ja lisää se oikealle puolelle. Varmista, että valitset tietokoneen tilan seuraavassa valintaikkunassa ja napsauta sitten loput.

  • Sendori
  • Purelead
  • Rocket Tab
  • Super Fish
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Viihde on laillinen kehittäjätyökalu, mutta haittaohjelmat ovat kaapanneet tietonsa)
  • System Alerts, LLC
  • CE_UmbrellaCert

Napsauta hiiren kakkospainikkeella ja poista jokin niistä löydetyistä merkinnöistä. Jos näit jotain väärin, kun testit Googlea selaimessasi, poista se myös. Ole varovainen, koska jos poistat väärät asiat tältä, hajotat Windowsin.

Toivomme, että Microsoft julkaisee jotain, jolla voit tarkistaa juurivarmenteesi ja varmistaa, että vain hyviä ovat siellä. Teoriassa voit käyttää tätä Microsoftin luetteloa Windowsin vaatimien todistusten luettelosta ja päivittää uusimmat juurivarmenteet, mutta se ei ole tällä hetkellä täysin testattu, emmekä todellakaan suosittele sitä ennen kuin joku testaa tämän.
Toivomme, että Microsoft julkaisee jotain, jolla voit tarkistaa juurivarmenteesi ja varmistaa, että vain hyviä ovat siellä. Teoriassa voit käyttää tätä Microsoftin luetteloa Windowsin vaatimien todistusten luettelosta ja päivittää uusimmat juurivarmenteet, mutta se ei ole tällä hetkellä täysin testattu, emmekä todellakaan suosittele sitä ennen kuin joku testaa tämän.

Seuraavaksi sinun tulee avata Internet-selain ja löytää varmenteita, jotka luultavasti tallennetaan siellä. Valitse Google Chromen asetukset Asetukset, Lisäasetukset ja Hallitse sertifikaatteja. Henkilökohtaisessa kohdassa voit helposti klikata Poista-painiketta virheellisistä varmenteista …

Mutta kun siirryt luotettuihin varmenteisiin, sinun on napsautettava Lisäasetukset ja poistettava sitten kaikki, mitä näet lopettaaksesi luvan myöntämisen kyseiseen sertifikaattiin.
Mutta kun siirryt luotettuihin varmenteisiin, sinun on napsautettava Lisäasetukset ja poistettava sitten kaikki, mitä näet lopettaaksesi luvan myöntämisen kyseiseen sertifikaattiin.

Mutta se on hulluutta.

Siirry Lisäasetukset-ikkunan alaosaan ja napsauta Nollaa asetukset nollataksesi Chrome uudelleen oletusasetuksiksi. Tee sama mikä tahansa muu käyttämäsi selain tai poista kokonaan, poista kaikki asetukset ja asenna se uudelleen.

Jos tietokoneesi on vaikuttanut, olet todennäköisesti paremmin tekemässä Windowsin täysin puhtaan asennuksen. Varmista vain, että varmuuskopioit asiakirjat ja kuvat ja kaikki.

Niin miten suojaat itseäsi?

On lähes mahdotonta suojautua kokonaan, mutta tässä on muutamia järkeviä ohjeita, jotka auttavat sinua ulos:

  • Tarkista Superfish / Komodia / Certification validation test site.
  • Ota selaimellasi käyttöön click-to-play plugins-sovelluksia, jotka auttavat sinua suojaamaan kaikista nollapäiväisistä Flash- ja muista plugin-tietoturva-aukkoista.
  • Ole varovainen, mitä lataat ja yritä käyttää Niniteä, kun ehdottomasti täytyy.
  • Kiinnitä huomiota siihen, mitä napsautat milloin tahansa napsautat.
  • Harkitse Microsoftin Enhanced Mitigation Experience Toolkit (EMET) -ohjelmiston tai Malwarebytes Anti-Exploit -ohjelman avulla selaimen ja muiden kriittisten sovellusten suojaamista suojausreikiiltä ja nollapäivähoidoilta.
  • Varmista, että kaikki ohjelmistosi, lisäosien ja virustorjuntaohjelmasi pysyvät ajan tasalla ja sisältävät myös Windows-päivityksiä.

Mutta se on hauskaa paljon työtä vain haluamaan selata verkkoa ilman kaapata. Se on kuin käsitellä TSA: ta.

Windows ekosysteemi on crapwaren kavalkadi. Ja nyt Internetin perusturvallisuus on rikki Windows-käyttäjille. Microsoftin on korjattava tämä.

Suositeltava:

Google Titan Key Bundle -ohjelman määrittäminen ja käyttö

Google Titan Key Bundle -ohjelman määrittäminen ja käyttö

Google julkaisi äskettäin kahden tekijän todentamisen (2FA) turva-avaimet nimeltä Titan Security Bundle. Tämä sarja sisältää perinteisen USB-pohjaisen Universal Second Factor (U2F) -näppäimen käytettäväksi tietokoneessa ja Bluetooth- / USB-avaimen yhdistelmä mobiililaitteille. Näin saat kaiken käyttöön.

Miten estää burglars Breaking kotisi

Miten estää burglars Breaking kotisi

Kotisi rikkoutuminen on pelottava kokemus, mutta voit tehdä kourallisen asioita estääkseen murhaajan edes ajattelemaan tulevan lähelle talosi.

Miten korjata Photoshop Breaking Escape avain Windowsissa

Miten korjata Photoshop Breaking Escape avain Windowsissa

Ovatko Photoshop ärsyttää sinua rikkomatta avausavain muissa ohjelmissa? Tässä on AutoHotkey-komentosarja, jonka avulla voit käyttää Photoshopia ja käyttää edelleen poistopainiketta tavalliseen tapaan muissa ohjelmissa.

ESET Superfish Adware Cleaner saatavilla

ESET Superfish Adware Cleaner saatavilla

ESET Superfish Cleaner on pieni kannettava työkalu, joka kertoo heti, jos sinulla on Superfish asennettuna Windows-tietokoneellesi ja poistat sen kokonaan.

Ultra Adware Killer: Poista Adware ja jälkiä kokonaan

Ultra Adware Killer: Poista Adware ja jälkiä kokonaan

Ultra Adware Killer on ilmainen kannettava Adware-puhdistus- ja poistotyökalu, joka auttaa käyttäjiä poistamaan Adware ja niiden jäljet Windows-järjestelmiltä täysin.