Download.com és mások Bundle Superfish-Style HTTPS Breaking Adware

Tartalomjegyzék:

Download.com és mások Bundle Superfish-Style HTTPS Breaking Adware
Download.com és mások Bundle Superfish-Style HTTPS Breaking Adware

Videó: Download.com és mások Bundle Superfish-Style HTTPS Breaking Adware

Videó: Download.com és mások Bundle Superfish-Style HTTPS Breaking Adware
Videó: How to set Importance for an email in Outlook - Office 365 - YouTube 2024, Április
Anonim
Ez egy félelmetes idő, hogy egy Windows-felhasználó legyen. A Lenovo összekapcsolta a HTTPS-eltérítést a Superfish adware-kel, a Comodo egy még rosszabb biztonsági lyukkal rendelkezik, a PrivDog néven, és több tucat más applikáció, mint a LavaSoft, ugyanezt teszi. Nagyon rossz, de ha azt szeretné, hogy a titkosított webes munkamenetek átkerüljenek, csak a CNET letöltésekhez vagy bármely freeware webhelyhez tudjanak menni, mert most már mindegyikük összekapcsolja a HTTPS-kel feltörő adware-t.
Ez egy félelmetes idő, hogy egy Windows-felhasználó legyen. A Lenovo összekapcsolta a HTTPS-eltérítést a Superfish adware-kel, a Comodo egy még rosszabb biztonsági lyukkal rendelkezik, a PrivDog néven, és több tucat más applikáció, mint a LavaSoft, ugyanezt teszi. Nagyon rossz, de ha azt szeretné, hogy a titkosított webes munkamenetek átkerüljenek, csak a CNET letöltésekhez vagy bármely freeware webhelyhez tudjanak menni, mert most már mindegyikük összekapcsolja a HTTPS-kel feltörő adware-t.

A szuperfegyveri fiaskó akkor kezdődött, amikor a kutatók észrevették, hogy a Lenovo számítógépein a Superfish egy hamis gyökér tanúsítványt telepített a Windows rendszerbe, amely lényegében minden HTTPS böngészést elveszít, így a tanúsítványok akkor is érvényesek lesznek, ha nem, és egy ilyen bizonytalan módon, hogy bármelyik script kiddie hacker képes ugyanazt a dolgot végrehajtani.

Ezután telepítenek egy proxyt a böngészőbe, és kényszerítik az összes böngészést, hogy hirdetéseket helyezhessenek el. Ez így van, még akkor is, ha csatlakozik a bankjához vagy az egészségbiztosítási oldalához, vagy bárhol, ahol biztonságban kell lenni. És soha nem fogod tudni, mert megtörték a Windows titkosítást, hogy hirdetéseket jelenítsenek meg.

De a szomorú, szomorú tény az, hogy ők nem az egyetlenek, adware, mint a Wajam, a Geniusbox, a Content Explorer és mások mind ugyanazt csinálják, telepítik saját tanúsítványait, és kényszerítik az összes böngészést (beleértve a HTTPS titkosított böngészési munkameneteket), hogy átmenjenek a proxykiszolgálón. És ezzel a képtelenséggel fertőzheti meg, ha a legjobb 10 alkalmazásból kettőt telepít a CNET letöltésekre.

A lényeg az, hogy már nem bízhat a zöld zároló ikonban a böngésző címsorában. És ez ijesztő, ijesztő dolog.

Hogyan működik a HTTPS-Adathalászat Adware és miért olyan rossz?

Image
Image

Ahogy korábban bemutattuk, ha a CNET Downloads bizalmának hatalmas hibáját hibáztatod, máris fertőzheted az ilyen típusú adware-kel. A CNET (KMPlayer és YTD) legfontosabb tíz letöltésének közül kettő két különböző típusú HTTPS-eltérítés adware-t köt össze, és a mi kutatásunkban azt találtuk, hogy a legtöbb egyéb freeware webhely ugyanazt csinálja.

Jegyzet:a telepítők annyira trükkösek és zavarosak, hogy nem vagyunk biztosak benne, hogy ki technikailag a "kötegelés", de a CNET előmozdítja ezeket az alkalmazásokat a saját honlapjukon, így ez valójában a szemantika kérdése. Ha azt ajánlja, hogy az emberek letöltsenek valamit, ami rossz, akkor ugyanúgy hibás. Azt is megállapítottuk, hogy ezek közül sok adware cég titokban ugyanazok az emberek, akik különböző cégneveket használnak.

A CNET letöltések legmagasabb 10 listájának letöltési számai alapján havonta egymillió ember fertőzött meg olyan adware-kkel, amelyek a titkosított webes munkameneteket átriasztják a bankjukba vagy e-mailjükbe, vagy bármi, ami biztonságos.

Ha hibát követett el a KMPlayer telepítésével, és sikerül figyelmen kívül hagyni az összes többi crapware-t, akkor ezt az ablakot fogja bemutatni. Ha véletlenül megnyomja az Elfogadom (vagy rossz kulcsot talál), akkor a rendszert el fogják fektetni.

Ha végül letöltötte valamit egy még vékonyabb forrásból, például a kedvenc keresőmotorjainak letöltési hirdetései közül, akkor láthatja az összes olyan dolgot, amely nem jó. És most már tudjuk, hogy sokan közülük teljesen megszakítják a HTTPS tanúsítvány érvényesítését, így teljesen sérülékenyek maradnak.
Ha végül letöltötte valamit egy még vékonyabb forrásból, például a kedvenc keresőmotorjainak letöltési hirdetései közül, akkor láthatja az összes olyan dolgot, amely nem jó. És most már tudjuk, hogy sokan közülük teljesen megszakítják a HTTPS tanúsítvány érvényesítését, így teljesen sérülékenyek maradnak.
Miután elkezdesz beavatkozni a fentiek valamelyikével, az első dolog, hogy megtörténik, hogy beállítja a rendszer proxyját, hogy egy helyi proxyon fusson, amelyet telepít a számítógépére. Külön figyelmet fordít az alábbi "Biztonságos" elemre. Ebben az esetben a Wajam Internet "Enhancer" volt, de lehet a Superfish vagy a Geniusbox vagy a többi, amit megtaláltak, mind ugyanúgy működnek.
Miután elkezdesz beavatkozni a fentiek valamelyikével, az első dolog, hogy megtörténik, hogy beállítja a rendszer proxyját, hogy egy helyi proxyon fusson, amelyet telepít a számítógépére. Külön figyelmet fordít az alábbi "Biztonságos" elemre. Ebben az esetben a Wajam Internet "Enhancer" volt, de lehet a Superfish vagy a Geniusbox vagy a többi, amit megtaláltak, mind ugyanúgy működnek.
Image
Image

Amikor biztonságos helyre megy, a zöld zárolás ikon jelenik meg, és minden rendben normálisnak tűnik. Még akkor is kattints a zárra, hogy megtekinthesd a részleteket, és úgy tűnik, hogy minden rendben van. Biztonságos kapcsolatot használ, és a Google Chrome azt is jelenti, hogy biztonságos kapcsolattal csatlakozik a Google-hoz. De te nem vagy!

A System Alerts LLC nem valódi gyökér-tanúsítvány, és valójában egy Man-in-the-Middle proxyon keresztül halad, amely hirdetéseket helyez be oldalakba (és ki tudja, mi más). Csak írd meg nekik az összes jelszavát, könnyebb lenne.

Miután a hirdetési program telepítve van és forgalomba helyezte az összes forgalmat, elkezdi látni a helytelenül nyomasztó hirdetéseket. Ezek a hirdetések olyan biztonságos webhelyeken jelennek meg, mint például a Google, a tényleges Google-hirdetések helyébe lépnek, vagy az összes helyszínen jelenik meg popupként, átveszik az összes webhelyet.
Miután a hirdetési program telepítve van és forgalomba helyezte az összes forgalmat, elkezdi látni a helytelenül nyomasztó hirdetéseket. Ezek a hirdetések olyan biztonságos webhelyeken jelennek meg, mint például a Google, a tényleges Google-hirdetések helyébe lépnek, vagy az összes helyszínen jelenik meg popupként, átveszik az összes webhelyet.
A hirdetések többsége "hirdetés" linkeket mutat be a teljesen rosszindulatú programokhoz. Tehát bár a reklámügynökség maga lehet jogi zaklatás, lehetővé teszik néhány igazán, nagyon rossz dolgot.
A hirdetések többsége "hirdetés" linkeket mutat be a teljesen rosszindulatú programokhoz. Tehát bár a reklámügynökség maga lehet jogi zaklatás, lehetővé teszik néhány igazán, nagyon rossz dolgot.

Ezt úgy valósítják meg, hogy a hamis gyökértanúsítványokat a Windows tanúsítványtárolóba telepítik, majd a biztonságos kapcsolatokat proxyzza alá, miközben aláírják őket hamis tanúsítványukkal.

Ha megnézed a Windows Tanúsítványok panelt, akkor mindenféle teljesen érvényes tanúsítványt láthatsz … de ha a számítógépen valamilyen adware telepítve van, látni fogsz hamis dolgokat, mint például a Rendszerfigyelmeztetések, LLC vagy a Superfish, Wajam vagy több tucatnyi hamisítvány.

Még akkor is, ha fertőzött és eltávolították a rosszindulatú programokat, a tanúsítványok továbbra is ott maradhatnak, így kiszolgáltatva azokat a hackereket, amelyek esetleg kivették a privát kulcsokat. Sok adware-telepítő nem távolítja el a tanúsítványokat, amikor eltávolítja őket.
Még akkor is, ha fertőzött és eltávolították a rosszindulatú programokat, a tanúsítványok továbbra is ott maradhatnak, így kiszolgáltatva azokat a hackereket, amelyek esetleg kivették a privát kulcsokat. Sok adware-telepítő nem távolítja el a tanúsítványokat, amikor eltávolítja őket.

Ők mind a Közép-támadások, és itt dolgozik

Ha a számítógépen hamis gyökér tanúsítványok vannak telepítve a tanúsítványtárolóban, akkor most már sebezhető a Man-in-the-Middle támadásokkal szemben. Ez azt jelenti, ha egy nyilvános hotspothoz csatlakozik, vagy valaki hozzáférést kap a hálózathoz, vagy sikerül feltörni valamit valamit felőled, helyettesíti a törvényes webhelyeket hamis webhelyekkel. Ez talán elhanyagolhatónak tűnik, de a hackerek képesek voltak DNS-eltéréseket használni az internet egyik legnagyobb webhelyén, hogy átsérjék a felhasználókat egy hamis webhelyre.
Ha a számítógépen hamis gyökér tanúsítványok vannak telepítve a tanúsítványtárolóban, akkor most már sebezhető a Man-in-the-Middle támadásokkal szemben. Ez azt jelenti, ha egy nyilvános hotspothoz csatlakozik, vagy valaki hozzáférést kap a hálózathoz, vagy sikerül feltörni valamit valamit felőled, helyettesíti a törvényes webhelyeket hamis webhelyekkel. Ez talán elhanyagolhatónak tűnik, de a hackerek képesek voltak DNS-eltéréseket használni az internet egyik legnagyobb webhelyén, hogy átsérjék a felhasználókat egy hamis webhelyre.

Miután elrabolják, elolvashatnak mindent, amit egy privát oldalra küldenek - jelszavakat, személyes adatokat, egészségügyi információkat, e-maileket, társadalombiztosítási számokat, banki információkat stb. És soha nem fog tudni, mert a böngészője megmondja hogy a kapcsolat biztonságos.

Ez azért működik, mert a nyilvános kulcs titkosításához mind a nyilvános kulcs, mind a privát kulcs szükséges. A nyilvános kulcsok a tanúsítványtárolóba vannak telepítve, és a privát kulcsot csak a látogatott weboldal tudja ismerni. De ha a támadók elvonják a gyökérigazolást és mind az állami, mind a magánkulcsokat tartják, mindent megteszhetnek, amit akarnak.

A Superfish esetében ugyanazt a magánkulcsot használják minden olyan számítógépen, amelyen a Superfish telepítve van, és néhány óra múlva a biztonsági kutatók képesek voltak kiiktatni a privát kulcsokat, és létrehozni weboldalakat annak tesztelésére, hogy Ön sebezhető-e, és bizonyítani tudja, hogy lerohanják. A Wajam és a Geniusbox esetében a kulcsok eltérőek, de a Content Explorer és néhány más adware ugyanazokat a kulcsokat használja mindenütt, ami azt jelenti, hogy ez a probléma nem egyedülálló a Superfish esetében.

Rosszabb: leginkább ez a szar mindenki letiltja a HTTPS érvényesítését

Tegnap, a biztonsági kutatók még nagyobb problémát fedeztek fel: ezek a HTTPS proxyk mindegyik letiltják az érvényesítést, miközben úgy tűnik, hogy minden rendben van.

Ez azt jelenti, hogy egy teljesen érvénytelen tanúsítvánnyal rendelkező HTTPS webhelyre mehetsz, és ez a hirdetési eszköz azt fogja mondani, hogy az oldal rendben van. Megvizsgáltuk a korábban említett adware-t, és teljesen letiltják a HTTPS érvényesítést, így nem számít, hogy a privát kulcsok egyediek-e vagy sem. Szörnyen rossz!

Bárki, aki az adware telepítve van, sebezhető mindenféle támadásra, és sok esetben továbbra is sérülékeny, még akkor is, ha az adware eltávolításra kerül.
Bárki, aki az adware telepítve van, sebezhető mindenféle támadásra, és sok esetben továbbra is sérülékeny, még akkor is, ha az adware eltávolításra kerül.

Ellenőrizheti, hogy sebezhető-e a Superfish, a Komodia vagy az érvénytelen tanúsítványellenőrzés a biztonsági kutatók által létrehozott tesztoldal segítségével, de amint azt már bemutattuk, sokkal több adware van ugyanazon a dolgon,, a dolgok tovább romlanak.

Védje magát: ellenőrizze a tanúsítványok panelt és törölje a rossz bejegyzéseket

Ha aggódik, ellenőrizze a tanúsítványtárolót, és győződjön meg róla, hogy nincsenek olyan vázlatos tanúsítványai, amelyeket később valamilyen proxy szerver aktiválhat. Ez kicsit bonyolult lehet, mert sok dolog van benne, és a legtöbbet ott kell lennie. Nem is tudjuk, mi legyen és nem is lehet ott.

A WIN + R segítségével nyissa meg a Run (Futtatás) párbeszédpanelt, majd írja be a "mmc" billentyűt a Microsoft Management Console ablakának felemeléséhez. Ezután használja a Fájl -> Hozzáad / eltávolítás beépülő modulokat, és válassza ki a Tanúsítványokat a bal oldali listából, majd adja hozzá jobb oldalhoz. Győződjön meg róla, hogy a következő párbeszédablakban válassza a Számítógép-fiók lehetőséget, majd kattintson a többi elemre.

  • Sendori
  • Purelead
  • Rocket Tab
  • Super Fish
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (A Fiddler egy jogszerű fejlesztői eszköz, de a rosszindulatú szoftverek eltérítették a cert-et)
  • System Alerts, LLC
  • CE_UmbrellaCert

Jobb egérgombbal kattintson és törölje a talált bejegyzések valamelyikét. Ha valami hibát észleltél, amikor tesztelte a Google-t a böngésződben, győződjön meg arról, hogy törli azt is. Csak vigyázzon, mert ha törli a rossz dolgokat itt, akkor megszakítja a Windows-ot.

Reméljük, hogy a Microsoft kiad valamit a gyökértanúsítványok ellenőrzéséhez, és győződjön meg róla, hogy csak a jóak. Elméletileg ezt a listát használhatja a Microsoft által a Windows által megkövetelt tanúsítványokból, majd frissítheti a legfrissebb gyökértanúsítványokra, de ebben a pillanatban teljesen nem tesztelték, és tényleg ezt nem javasoljuk, amíg valaki ezt teszteli.
Reméljük, hogy a Microsoft kiad valamit a gyökértanúsítványok ellenőrzéséhez, és győződjön meg róla, hogy csak a jóak. Elméletileg ezt a listát használhatja a Microsoft által a Windows által megkövetelt tanúsítványokból, majd frissítheti a legfrissebb gyökértanúsítványokra, de ebben a pillanatban teljesen nem tesztelték, és tényleg ezt nem javasoljuk, amíg valaki ezt teszteli.

Ezután meg kell nyitnia a webböngészőt, és meg kell találnia azokat a tanúsítványokat, amelyek valószínűleg ott tárolódnak. A Google Chrome-hoz menjen a Beállítások, Speciális beállítások, majd a Tanúsítványok kezelése lehetőségre. A Személy alatt egyszerűen kattints az Eltávolítás gombra a rossz tanúsítványokon …

De amikor megy a Megbízható Gyökér Tanúsító Hatóságokhoz, akkor a Speciális gombra kell kattintania, majd törölnie kell mindazt, amit lát, hogy hagyja abba a tanúsítvány engedélyezését …
De amikor megy a Megbízható Gyökér Tanúsító Hatóságokhoz, akkor a Speciális gombra kell kattintania, majd törölnie kell mindazt, amit lát, hogy hagyja abba a tanúsítvány engedélyezését …

De ez az őrület.

Menjen a Speciális beállítások ablak aljára, és kattintson a Beállítások visszaállítása lehetőségre a Chrome alapértelmezett beállításainak teljes újraindításához. Csináld ugyanazt bármely más böngészőhöz, vagy teljesen eltávolítod, törölheted az összes beállítást, majd telepítheted újra.

Ha a számítógépe érintett, valószínűleg jobb, ha teljesen tiszta telepítést végez a Windows rendszeren. Csak győződjön meg róla, hogy biztonsági másolatot készít a dokumentumokról és képekről, és mindezről.

Szóval hogyan védi meg magad?

Szinte lehetetlen teljes mértékben megvédeni magát, de itt van néhány józan ész, amelyek segítenek neked:

  • Ellenőrizze a Superfish / Komodia / Certification validation teszt webhelyet.
  • Engedélyezze a kattintásra lejátszást a böngésző bővítményeihez, amelyek segítenek megvédeni az összes olyan nulladik napi Flash és egyéb plugin biztonsági lyukaktól.
  • Nagyon vigyázz, mit töltesz le és próbáld meg használni a Ninite-t, ha feltétlenül szükséges.
  • Ügyeljen arra, hogy bármikor rákattinthat.
  • Vegye fontolóra a Microsoft Enhanced Mitigation Experience Toolkit (EMET) vagy a Malwarebytes Anti-Exploit használatát, hogy megvédje böngészőjét és más kritikus alkalmazásokat a biztonsági lyukaktól és a nulla napos támadásoktól.
  • Győződjön meg róla, hogy az összes szoftver, bővítmény és vírusirtó frissítve van, és tartalmazza a Windows frissítéseket is.

De ez egy rengeteg munka, mert csak azt szeretné, hogy böngészhessen a weben anélkül, hogy eltévedt volna. Ez olyan, mint a TSA-val való foglalkozás.

A Windows ökoszisztéma a crapware kavalkádja. És most az internet alapvető biztonsága romlott a Windows felhasználók számára. A Microsoftnak javítania kell.

Ajánlott:

Hogyan ellenőrizheted, hogy mások mit láthatnak a Google-profilodról?

Hogyan ellenőrizheted, hogy mások mit láthatnak a Google-profilodról?

Ha bármilyen Google-szolgáltatást használ - Gmail, Drive, Fotók, Google+ stb. - akkor kétségtelenül van egy Google-profilod. Amikor beállította a Gmail-fiókját, magáról, például nevéről, születésnapjáról, sőt élőhelyéről is tartalmaz információkat. Ha nem tette meg a szükséges lépéseket annak biztosítása érdekében, hogy ez az információ magánszemély, akkor lehet, hogy az egész világ számára látható.

A Contacts, emlékeztetők és mások szinkronizálása iCloud alkalmazással

A Contacts, emlékeztetők és mások szinkronizálása iCloud alkalmazással

Ha Mac-et, iPhone-t vagy iPad-et használ, akkor talán elgondolkodhatott volna arról, hogy az iCloud hogyan használja ezt a helyet. Ma átvezessük az iCloud szinkronizálás teljes körét, és megmutatjuk, hogyan kapcsolhatja ki, ha úgy kívánja.

Mi a különbség Bitcoin, Bitcoin Cash, Bitcoin Gold és mások között?

Mi a különbség Bitcoin, Bitcoin Cash, Bitcoin Gold és mások között?

Nevük ellenére a Bitcoin Cash, a Bitcoin Gold, a Bitcoin Diamond, a Bitcoin Private és mások nem ugyanazok, mint a Bitcoin. A Bitcoin-on alapulnak, és a nevükön rejtegetnek, de más dologról van szó. Így tudhatjuk, melyik Bitcoin-változat melyik.

Tekintse meg, hogy mások hogyan látják a webhelyét böngészőmérettel a Google-tól.

Tekintse meg, hogy mások hogyan látják a webhelyét böngészőmérettel a Google-tól.

A Google 20% időtartam alatt létrehozta és elindított egy új eszközt, amely a Böngésző méretének nevezett. Ez az eszköz segít megérteni, hogy a felhasználók hogyan látják a webhelyet.

Az ESET Superfish Adware Cleaner elérhető

Az ESET Superfish Adware Cleaner elérhető

Az ESET Superfish Cleaner egy kicsi hordozható eszköz, amely azonnal megtudja, hogy a Superfish telepítve van-e a Windows számítógépen, és teljesen eltávolítja.