Download.com och andra Bundle Superfish-Style HTTPS Breaking Adware
Det är en skrämmande tid att vara en Windows-användare. Lenovo samlade HTTPS-kapning Superfish-adware, Comodo-fartyg med ett ännu värre säkerhetshål som heter PrivDog, och dussintals andra appar som LavaSoft gör detsamma. Det är verkligen dåligt, men om du vill att dina krypterade webbsessioner ska kapas bara gå till CNET-nerladdningar eller någon freeware-webbplats, eftersom de alla bunter HTTPS-brytande adware nu.
Superfish-fiasko började när forskare märkte att Superfish, som fanns på Lenovo-datorer, installerade ett falskt rotcertifikat i Windows som i huvudsak kapar alla HTTPS-surfar så att certifikaten alltid ser giltiga ut, även om de inte är, och de gjorde det i en sådan osäkert sätt att alla skriptkiddiehackare skulle kunna utföra samma sak.
Och sedan installerar de en proxy i din webbläsare och tvingar all din surfning genom den så att de kan infoga annonser. Det är rätt, även när du ansluter till din bank, eller sjukförsäkring webbplats, eller var som helst som borde vara säker. Och du skulle aldrig veta, eftersom de bröt Windows-kryptering för att visa annonser.
Men det sorgliga, ledsna faktumet är att de inte är de enda som gör det här - Adware som Wajam, Geniusbox, Content Explorer, och andra gör alla exakt samma sak, installera egna certifikat och tvinga all din surfning (inklusive HTTPS-krypterade surfningssessioner) för att gå igenom deras proxyserver. Och du kan bli smittad med denna nonsens genom att installera två av de 10 bästa appsna på CNET-nerladdningar.
Sluten är att du inte längre kan lita på den gröna låsikonen i webbläsarens adressfält. Och det är en läskig, skrämmande sak.
Hur HTTPS-Hijacking Adware fungerar, och varför det är så dåligt
Ummm, jag kommer att behöva gå vidare och stänga fliken. mmkay?Som vi tidigare visat, om du gör det enorma gigantiska misstaget att lita på CNET-nedladdningar, kan du redan vara smittad med den här typen av adware. Två av de översta tio nedladdningarna på CNET (KMPlayer och YTD) sammanfogar två olika typer av HTTPS-hijacking adware, och i vår forskning fann vi att de flesta andra freeware-webbplatser gör samma sak.
Notera: installatörerna är så knepiga och tvungna att vi inte är säkra vem som är tekniskt gör "bundling", men CNET marknadsför dessa appar på deras hemsida, så det är verkligen en fråga om semantik. Om du rekommenderar att personer hämtar något som är dåligt, har du lika fel. Vi har också funnit att många av dessa adwareföretag är hemligt samma personer som använder olika företagsnamn.
Baserat på nedladdningsnumren från den översta 10 listan på CNET-nedladdningar ensam smittas en miljon människor varje månad med adware som kapar sina krypterade webbsessioner till sin bank eller e-post eller något som borde vara säkert.
Om du gjorde misstaget att installera KMPlayer, och du lyckas ignorera alla andra crapware presenteras du med det här fönstret. Och om du av misstag klickar på Acceptera (eller tryck på fel tangent) kommer ditt system att pwned.
Hämta webbplatser ska skämmas för sig själva.Om du slutade ladda ner något från en ännu mer sketchy källa, som nedladdningsannonserna i din favorit sökmotor, ser du en hel lista med saker som inte är bra. Och nu vet vi att många av dem kommer att helt bryta HTTPS-certifikatvalideringen, vilket gör att du är helt sårbar.
Lavasoft Web Companion bryter också HTTPS-kryptering, men den här buntaren installerade också adware.När du väl är smittad med någon av dessa saker, är det första som händer att det ställer in din proxy för att köra genom en lokal proxy som den installerar på din dator. Var särskilt uppmärksam på "Säkert" objektet nedan. I det här fallet var det från Wajam Internet "Enhancer", men det kan vara Superfish eller Geniusbox eller någon av de andra som vi har hittat, de arbetar alla på samma sätt.
Det är ironiskt att Lenovo använde ordet "förbättra" för att beskriva Superfish.När du går till en webbplats som ska vara säker ser du ikonen för grön lås och allt ser helt normalt ut. Du kan även klicka på låset för att se detaljerna, och det kommer att visa sig att allt är bra. Du använder en säker anslutning, och även Google Chrome kommer att rapportera att du är ansluten till Google med en säker anslutning. Men det är du inte!
System Alerts LLC är inte ett riktigt rotcertifikat och du går faktiskt genom en proxy som är in-the-middle som sätter in annonser på sidor (och vem vet vad mer). Du ska bara skicka e-post till alla dina lösenord, det skulle vara enklare.
Systemvarning: Ditt system har äventyras.När adware är installerad och proxying all din trafik börjar du se riktigt motbjudande annonser överallt. Dessa annonser visas på säkra webbplatser, till exempel Google, ersätter de faktiska Google-annonserna, eller de visas som popup-filer överallt och tar över varje webbplats.
Jag skulle vilja ha min Google utan skadliga program, tack.De flesta av dessa adware visar "annons" länkar till direkt skadlig kod. Så medan adware själv kan vara en juridisk olägenhet, möjliggör de några riktigt, riktigt dåliga saker.
De åstadkommer detta genom att installera sina falska rotcertifikat i Windows-certifikatbutiken och sedan proxya de säkra anslutningarna när de undertecknar dem med sitt falska certifikat.
Om du tittar på Windows-certifikatpanelen kan du se alla typer av helt giltiga certifikat ... men om din dator har någon typ av adware installerad, kommer du att se falska saker som System Alerts, LLC eller Superfish, Wajam eller dussintals andra förfalskningar.
Är det från paraplyföretaget?Även om du har blivit smittad och sedan tagit bort skadlig kod, kan certifikaten fortfarande vara där, vilket gör dig utsatt för andra hackare som kan ha tagit ut privata nycklar. Många av adwareinstallatörerna tar inte bort certifikaten när du avinstallerar dem.
De är alla människa-i-mittenattackerna och här fungerar de
Det här är från en riktig levande attack av den fantastiska säkerhetsforskaren Rob GrahamOm din dator har falska rotcertifikat installerade i certifikatbutiken är du nu sårbar mot Man-in-the-Middle attacks. Vad det här betyder är om du ansluter till ett offentligt hotspot eller någon får tillgång till ditt nätverk eller lyckas hacka något uppströms från dig, kan de ersätta legitima webbplatser med falska webbplatser. Det här kanske låter förflutet, men hackare har kunnat använda DNS-hijackar på några av de största webbplatserna på webben för att kapabla användare till en falsk webbplats.
När du har kapats kan du läsa varje enskild sak som du skickar till en privat webbplats - lösenord, privat information, hälsoinformation, e-postadresser, personnummer, bankinformation etc. Och du vet aldrig eftersom din webbläsare kommer att berätta för dig att din anslutning är säker.
Det här fungerar eftersom public key-kryptering kräver både en offentlig nyckel och en privat nyckel. De offentliga nycklarna är installerade i certifikatbutiken, och den privata nyckeln bör endast vara känd av webbplatsen du besöker. Men när angripare kan kapa ditt rotcertifikat och hålla både de offentliga och privata nycklarna, kan de göra allt de vill ha.
När det gäller Superfish använder de samma privata nyckel på varje dator som har Superfish installerad och inom några timmar kunde säkerhetsforskare extrahera privata nycklar och skapa webbplatser för att testa om du är sårbar och bevisa att du kunde kapas. För Wajam och Geniusbox är nycklarna olika, men Content Explorer och någon annan adware använder också samma nycklar överallt, vilket innebär att detta problem inte är unikt för Superfish.
Det blir värre: Det mesta av denna crap inaktiverar HTTPS-validering helt
Bara igår upptäckte säkerhetsforskare ett ännu större problem: Alla dessa HTTPS-proxyer inaktiverar all validering medan den ser ut som allting är bra.
Det betyder att du kan gå till en HTTPS-webbplats som har ett helt ogiltigt certifikat, och den här adware kommer att berätta att webbplatsen är bra. Vi testade adware som vi nämnde tidigare och de inaktiverar helt HTTPS-validering helt, så det spelar ingen roll om de privata nycklarna är unika eller inte. Shockingly dåligt!
Alla dessa adware bryter helt och hållet certifikatkontroll.Någon som har installerat adware är sårbar för alla slags attacker och i många fall fortsätter att vara sårbara även när adware tas bort.
Du kan kontrollera om du är sårbar mot Superfish, Komodia eller ogiltig certifieringskontroll med hjälp av testplatsen som skapats av säkerhetsforskare, men som vi redan har visat är det mycket mer adware där ute som gör detsamma och från vår forskning , saker kommer att fortsätta bli värre.
Skydda dig: Kontrollera certifikatpanelen och ta bort dåliga poster
Om du är orolig bör du kolla din certifikatbutik för att se till att du inte har några sketchy certifikat installerade som senare kan aktiveras av någon proxyserver. Det kan vara lite komplicerat, för det finns många saker där, och det mesta ska vara där. Vi har inte heller en bra lista över vad som borde och borde inte vara där.
Använd WIN + R för att dra upp dialogrutan Kör, och skriv sedan "mmc" för att dra upp ett Microsoft Management Console-fönster. Använd sedan Arkiv -> Lägg till / ta bort Snapin-moduler och välj Certifikat från listan till vänster och lägg sedan till den till höger. Se till att du väljer Computer-konto i nästa dialogruta och klicka sedan på resten.
Du vill gå till Trusted Root Certification Authorities och leta efter riktigt sketchy poster som någon av dessa (eller något liknande dem)
- Sendori
- Purelead
- Fliken Rocket
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler är ett legitimt utvecklarverktyg men skadlig kod har kapat sitt cert)
- System Alerts, LLC
- CE_UmbrellaCert
Högerklicka och ta bort några av de poster du hittar. Om du såg något fel när du testade Google i din webbläsare, var noga med att ta bort den också. Var försiktig, för om du tar bort de felaktiga sakerna här, kommer du att bryta Windows.
Vi hoppas att Microsoft släpper ut något för att kontrollera dina rotcertifikat och se till att bara bra finns där. Teoretiskt kan du använda den här listan från Microsoft av de certifikat som krävs av Windows och uppdatera sedan till de senaste rotcertifikaten, men det är helt otestat just nu, och vi rekommenderar verkligen det inte förrän någon testar det här.
Därefter måste du öppna din webbläsare och hitta de certifikat som troligtvis är cachade där. För Google Chrome, gå till Inställningar, Avancerade inställningar och Hantera certifikat. Under Personlig kan du enkelt klicka på Ta bort på eventuella dåliga certifikat ...
Men när du går till Trusted Root Certification Authorities måste du klicka på Advanced och avmarkera sedan allt du ser för att sluta ge behörigheter till det certifikatet ...
Men det är galenskap.
Gå till botten av fönstret Avancerade inställningar och klicka på Återställ inställningar för att helt återställa Chrome till standardinställningarna. Gör samma sak för vilken annan webbläsare du använder, eller helt avinstallera, torka alla inställningar och installera sedan igen.
Om din dator har påverkats, är du förmodligen bättre att göra en helt ren installation av Windows. Var noga med att säkerhetskopiera dina dokument och bilder och allt detta.
Så hur skyddar du dig själv?
Det är nästan omöjligt att helt skydda dig, men här är några vanliga sinnena för att hjälpa dig:
- Kontrollera Superfish / Komodia / Certification validering test webbplats.
- Aktivera Click-to-Play för insticksprogram i din webbläsare, vilket hjälper dig att skydda dig från alla dessa nolldagars Flash och andra pluginsäkerhetshål finns.
- Var försiktig med vad du laddar ner och försök använda Ninite när du absolut måste.
- Var uppmärksam på vad du klickar när du klickar.
- Överväg att använda Microsofts förbättrade verktyg för förbättrad verkningsverktygssats (EMET) eller Malwarebytes Anti-Exploit för att skydda din webbläsare och andra kritiska applikationer från säkerhetshål och nollagangrepp.
- Se till att all din programvara, plugins och anti-virus är uppdaterade, och det inkluderar även Windows-uppdateringar.
Men det är ett hemskt jobb för att bara vilja surfa på webben utan att bli kapad. Det är som att hantera TSA.
Windows-ekosystemet är en cavalcade av crapware. Och nu är den grundläggande säkerheten på Internet bruten för Windows-användare. Microsoft behöver fixa det här.