Download.com dan Lain-lain Bundle Superfish-Style HTTPS Breaking Adware
Masa yang menakutkan menjadi pengguna Windows. Lenovo telah menggabungkan adware Superfish yang merampas HTTPS, kapal Comodo dengan lubang keselamatan yang lebih teruk dipanggil PrivDog, dan berpuluh-puluh aplikasi lain seperti LavaSoft sedang melakukan perkara yang sama. Ia benar-benar buruk, tetapi jika anda mahu sesi web terenkripsi anda dirampas hanya menuju ke Muat Turun CNET atau laman web freeware, kerana mereka semua menggabungkan adware HTTPS yang berbuih sekarang.
Kegagalan Superfish bermula apabila para penyelidik mendapati Superfish, yang dibundel di komputer Lenovo, telah memasang sijil akar palsu ke dalam Windows yang pada dasarnya merampas semua penyebaran HTTPS supaya sijil selalu kelihatan sah walaupun mereka tidak, dan mereka melakukannya dalam keadaan seperti cara yang tidak selamat bahawa mana-mana skrip kiddie penggodam boleh mencapai perkara yang sama.
Dan kemudian mereka memasang proksi ke pelayar anda dan memaksa semua pelayaran anda melaluinya sehingga mereka dapat memasukkan iklan. Benar, walaupun anda menyambung ke bank anda, atau laman insurans kesihatan, atau di mana saja yang sepatutnya selamat. Dan anda tidak akan tahu, kerana mereka memecahkan penyulitan Windows untuk memaparkan kepada anda iklan.
Tetapi kenyataan yang menyedihkan adalah bahawa mereka bukanlah satu-satunya yang melakukan ini - adware seperti Wajam, Geniusbox, Content Explorer, dan lain-lain semuanya melakukan perkara yang sama, memasang sijil mereka sendiri dan memaksa semua penyemakan imbas anda (termasuk sesi pelayaran tersulitkan HTTPS) untuk melewati pelayan proksi mereka. Dan anda boleh dijangkiti dengan omong kosong ini hanya dengan memasang dua 10 aplikasi teratas pada Muat Turun CNET.
Intinya adalah bahawa anda tidak lagi boleh mempercayai ikon kunci hijau di bar alamat penyemak imbas anda. Dan itulah perkara yang menakutkan.
Bagaimana Adware Hijau Pengendalian HTTPS, dan Mengapa Ia Suka
Ummm, saya perlukan anda untuk meneruskan dan menutup tab itu. Mmkay?Seperti yang telah kami tunjukkan sebelum ini, jika anda membuat kesilapan raksasa besar untuk mempercayai Muat turun CNET, anda sudah boleh dijangkiti dengan jenis adware ini. Dua daripada sepuluh teratas muat turun di CNET (KMPlayer dan YTD) sedang menggabungkan dua jenis adware HTTP yang rampasan, dan dalam penyelidikan kami, kami mendapati bahawa kebanyakan laman web freeware lain melakukan perkara yang sama.
Catatan: pemasang begitu rumit dan rumit bahawa kita tidak pasti siapa secara teknikal melakukan "bundling", tetapi CNET mempromosikan aplikasi ini di halaman rumah mereka, jadi ia sememangnya semantik. Jika anda mengesyorkan bahawa orang memuat turun sesuatu yang tidak baik, anda sama-sama bersalah. Kami juga mendapati bahawa banyak syarikat adware ini diam-diam orang yang sama menggunakan nama syarikat yang berlainan.
Berdasarkan nombor muat turun dari senarai 10 teratas pada Muat Turun CNET sahaja, sejuta orang dijangkiti setiap bulan dengan adware yang merampas sesi web mereka yang disulitkan ke bank mereka, atau e-mel, atau apa-apa yang perlu terjamin.
Jika anda membuat kesilapan memasang KMPlayer, dan anda menguruskan untuk mengabaikan semua crapware yang lain, anda akan dibentangkan dengan tetingkap ini. Dan jika anda secara tidak sengaja klik Terima (atau tekan kekunci salah) sistem anda akan dibuka.
Muat turun tapak harus malu sendiri.Jika anda akhirnya memuat turun sesuatu dari sumber yang lebih mudah, seperti iklan muat turun dalam enjin carian kegemaran anda, anda akan melihat senarai keseluruhan perkara yang tidak baik. Dan sekarang kita tahu bahawa ramai daripada mereka akan benar-benar mematahkan pengesahan sijil HTTPS, meninggalkan anda yang benar-benar terdedah.
Lavasoft Web Companion juga memecahkan penyulitan HTTPS, tetapi pelekat ini juga dipasang adware.Sebaik sahaja anda menjangkiti diri dengan mana-mana satu perkara ini, perkara pertama yang berlaku ialah ia menetapkan proksi sistem anda untuk menjalankan melalui proksi tempatan yang dipasang pada komputer anda. Beri perhatian khusus kepada item "Selamat" di bawah. Dalam kes ini, ia adalah dari Internet "Enhancer" Wajam, tetapi ia boleh menjadi Superfish atau Geniusbox atau mana-mana yang lain yang kami dapati, semuanya bekerja dengan cara yang sama.
Ia ironis bahawa Lenovo menggunakan perkataan "meningkatkan" untuk menerangkan Superfish.Apabila anda pergi ke tapak yang sepatutnya selamat, anda akan melihat ikon kunci hijau dan semuanya akan kelihatan normal. Anda juga boleh mengklik pada kunci untuk melihat butiran, dan ia akan kelihatan bahawa semuanya baik-baik saja. Anda menggunakan sambungan selamat, dan juga Google Chrome akan melaporkan bahawa anda disambungkan ke Google dengan sambungan selamat. Tetapi anda tidak!
Sistem Isyarat LLC bukan perakuan akar asli dan anda sebenarnya melalui proksi Man-in-the-Middle yang memasukkan iklan ke halaman (dan siapa yang tahu apa lagi). Anda hanya perlu menghantar e-mel kepada semua kata laluan anda, lebih mudah.
Sistem Peringatan: Sistem anda telah dikompromi.Setelah adware dipasang dan proksi semua lalu lintas anda, anda akan mula melihat iklan yang benar-benar menjengkelkan di seluruh tempat. Iklan-iklan ini dipaparkan di laman web yang selamat, seperti Google, menggantikan iklan Google yang sebenarnya, atau muncul sebagai popup di seluruh tempat, mengambil alih setiap tapak.
Saya ingin Google saya tanpa pautan malware, terima kasih.Kebanyakan adware ini menunjukkan pautan "iklan" kepada malware secara terang-terangan. Oleh itu, walaupun adware itu sendiri mungkin gangguan yang sah, ia membolehkan beberapa perkara yang benar-benar benar-benar buruk.
Mereka mencapai ini dengan memasang sijil akar palsu mereka ke dalam kedai sijil Windows dan kemudian menyaman sambungan selamat semasa menandatangani mereka dengan sijil palsu mereka.
Jika anda melihat panel Sijil Windows, anda boleh melihat semua jenis sijil yang sah ... tetapi jika PC anda mempunyai beberapa jenis adware yang dipasang, anda akan melihat perkara-perkara palsu seperti Isyarat Sistem, LLC, atau Superfish, Wajam, atau berpuluh-puluh palsu lain.
Adakah itu dari syarikat Umbrella?Sekalipun anda telah dijangkiti dan kemudian memadamkan badware, sijil mungkin masih berada di sana, menjadikan anda terdedah kepada penggodam lain yang mungkin telah mengeluarkan kunci persendirian. Ramai pemasang adware tidak mengalih keluar sijil apabila anda menyahpasangnya.
Mereka Semua Serangan Man-in-the-Middle dan Inilah Cara Mereka Bekerja
Ini adalah dari serangan langsung sebenar oleh penyelidik keselamatan hebat Rob GrahamJika PC anda mempunyai sijil akar palsu yang dipasang di kedai sijil, anda kini terdedah kepada serangan Man-in-the-Middle. Apa ini bermakna jika anda menyambung ke hotspot awam, atau seseorang mendapat akses ke rangkaian anda, atau berjaya menggodam sesuatu dari hulu anda, mereka boleh menggantikan laman sah dengan tapak palsu. Ini mungkin terdengar jauh, tetapi peretas dapat menggunakan pembongkaran DNS di beberapa laman web terbesar di web untuk merampas pengguna ke tapak palsu.
Sebaik sahaja anda dirampas, mereka boleh membaca setiap perkara yang anda hantar ke tapak persendirian - kata laluan, maklumat peribadi, maklumat kesihatan, e-mel, nombor keselamatan sosial, maklumat perbankan, dll. Dan anda tidak akan tahu kerana penyemak imbas anda akan memberitahu anda bahawa sambungan anda selamat.
Ini berfungsi kerana penyulitan utama awam memerlukan kunci awam dan kunci peribadi. Kunci awam dipasang di kedai sijil, dan kunci persendirian hanya diketahui oleh laman web yang anda lawati. Tetapi apabila penyerang boleh merampas sijil akar anda dan memegang kedua-dua kunci awam dan swasta, mereka boleh melakukan apa sahaja yang mereka mahukan.
Dalam kes Superfish, mereka menggunakan kunci persendirian yang sama pada setiap komputer yang dipasang Superfish, dan dalam masa beberapa jam penyelidik keselamatan dapat mengekstrak kunci persendirian dan membuat laman web untuk menguji sama ada anda terdedah, dan membuktikan bahawa anda boleh dirampas. Bagi Wajam dan Geniusbox, kunci berbeza, tetapi Content Explorer dan beberapa adware lain juga menggunakan kekunci yang sama di mana-mana, yang bermaksud masalah ini tidak unik untuk Superfish.
Ia Memudaratkan: Kebanyakan Crap ini Melumpuhkan Pengesahan HTTPS Sepenuhnya
Hanya semalam, para penyelidik keselamatan menemui masalah yang lebih besar: Semua proksi HTTPS ini menyahdayakan semua pengesahan ketika membuatnya kelihatan seperti semuanya baik-baik saja.
Ini bermakna bahawa anda boleh pergi ke laman web HTTPS yang mempunyai sijil yang sama sekali tidak sah, dan adware ini akan memberitahu anda bahawa tapaknya baik-baik saja. Kami menguji adware yang kami sebutkan tadi dan mereka semua melumpuhkan pengesahan HTTPS sepenuhnya, jadi tidak kira jika kunci peribadi unik atau tidak. Kejutan buruk!
Semua adware ini benar-benar memecahkan pemeriksaan sijil.Sesiapa yang memasang adware terdedah kepada pelbagai serangan, dan dalam banyak kes terus menjadi terdedah walaupun adware dikeluarkan.
Anda boleh menyemak jika anda terdedah kepada Superfish, Komodia, atau pemeriksaan sijil yang tidak sah menggunakan laman ujian yang dibuat oleh penyelidik keselamatan, tetapi seperti yang telah kami tunjukkan, terdapat banyak adware di luar sana yang melakukan perkara yang sama, dan dari penyelidikan kami , perkara akan terus bertambah buruk.
Lindungi Diri Anda: Periksa Panel Sijil dan Padamkan Entri Buruk
Sekiranya anda bimbang, anda perlu menyemak kedai sijil anda untuk memastikan bahawa anda tidak mempunyai sijil yang telah dipasang yang kemudiannya dapat diaktifkan oleh pelayan proksi seseorang. Ini boleh sedikit rumit, kerana terdapat banyak perkara di sana, dan kebanyakannya sepatutnya berada di sana. Kami juga tidak mempunyai senarai yang baik tentang apa yang sepatutnya dan tidak sepatutnya berada di sana.
Gunakan WIN + R untuk menarik dialog Run, dan kemudian taipkan "mmc" untuk menarik tetingkap Pengurusan Microsoft Konsol. Kemudian gunakan Fail -> Tambah / Alih Keluar Snap dan pilih Sijil dari senarai di sebelah kiri, dan kemudian tambahkan pada sebelah kanan. Pastikan untuk memilih akaun komputer pada dialog seterusnya, dan kemudian klik melalui yang lain.
Anda akan mahu pergi ke Pihak Berkuasa Pengesahan Root Dipercayai dan mencari penyertaan yang sangat kemas seperti mana-mana (atau yang serupa dengan ini)
- Sendori
- Purelead
- Tab Rocket
- Ikan super
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler adalah alat pemaju yang sah tetapi malware telah merampas pensinya)
- Sistem Isyarat, LLC
- CE_UmbrellaCert
Klik kanan dan Padam mana-mana entri yang anda dapati. Jika anda melihat sesuatu yang tidak betul apabila anda menguji Google dalam penyemak imbas anda, pastikan anda memadamkannya juga. Berhati-hatilah, kerana jika anda memadam perkara yang salah di sini, anda akan memecahkan Windows.
Kami berharap Microsoft melancarkan sesuatu untuk memeriksa sijil root anda dan memastikan bahawa hanya yang baik berada di sana. Secara teorinya, anda boleh menggunakan senarai ini dari Microsoft bagi sijil-sijil yang diperlukan oleh Windows, dan kemudian mengemas kini sijil akar terbaru, tetapi itu belum selesai pada masa ini, dan kami tidak mencadangkannya sehingga seseorang menguji ini.
Seterusnya, anda perlu membuka pelayar web anda dan mencari sijil yang mungkin di-cache di sana. Untuk Google Chrome, pergi ke Tetapan, Tetapan Lanjutan, dan kemudian Urus sijil. Di bawah Peribadi, anda boleh dengan mudah klik butang Hapus pada mana-mana sijil buruk ...
Tetapi apabila anda pergi ke Pihak Berkuasa Pensijilan Root Dipercayai, anda perlu mengklik Lanjutan dan kemudian nyahtandakan semua yang anda lihat untuk berhenti memberikan kebenaran ke sijil itu ...
Tetapi itulah kegilaan.
Pergi ke bahagian bawah tetingkap Tetapan Lanjutan dan klik pada Seting semula tetapan untuk mengeset semula Chrome secara lalai. Lakukan perkara yang sama untuk mana-mana penyemak imbas lain yang anda gunakan, atau hapus sepenuhnya, keluarkan semua tetapan, dan kemudian pasang lagi.
Jika komputer anda telah terjejas, anda mungkin lebih baik melakukan memasang Windows sepenuhnya. Hanya pastikan untuk membuat sandaran dokumen dan gambar anda dan semua itu.
Jadi Bagaimana Anda Melindungi Diri Anda?
Ia hampir mustahil untuk melindungi diri anda sendiri, tetapi berikut adalah beberapa panduan umum untuk membantu anda:
- Semak tapak ujian pengesahan Superfish / Komodia / Persijilan.
- Dayakan Klik untuk Putar untuk pemalam dalam penyemak imbas anda, yang akan membantu melindungi anda dari semua Flash hari-hari kosong dan lubang keselamatan plugin lain yang ada.
- Berhati-hati dengan apa yang anda muat turun dan cuba gunakan Ninite apabila anda benar-benar perlu.
- Perhatikan apa yang anda klik pada bila-bila masa yang anda klik.
- Pertimbangkan untuk menggunakan Toolkit Pengalaman Mitigasi Dipertingkatkan (EMET) Microsoft atau Anti-Exploit Malwarebytes untuk melindungi pelayar anda dan aplikasi kritikal lain dari lubang keselamatan dan serangan sifar hari.
- Pastikan semua perisian, plugin, dan anti-virus anda dikemas kini, dan itu termasuk Kemas Kini Windows juga.
Tetapi itu banyak sekali kerja yang hanya mahu melayari web tanpa dibajak. Ia seperti berurusan dengan TSA.
Ekosistem Windows adalah cavalcade crapware. Dan kini keselamatan asas Internet dipecahkan kepada pengguna Windows. Microsoft perlu membetulkannya.