Download.com e altri bundle Superfish-Style HTTPS Breaking Adware
È un momento spaventoso per essere un utente di Windows. Lenovo stava unendo adware Superfish di dirottamento HTTPS, Comodo viene fornito con un buco di sicurezza ancora peggiore chiamato PrivDog, e dozzine di altre app come LavaSoft stanno facendo lo stesso. È davvero pessimo, ma se vuoi che le tue sessioni web crittografate vengano dirottate, vai su CNET Downloads o su qualsiasi sito freeware, perché sono tutte in bundle con l'adware HTTPS che si rompe ora.
Il fiasco di Superfish è iniziato quando i ricercatori hanno notato che Superfish, in bundle sui computer Lenovo, stava installando un certificato di root falso in Windows che essenzialmente dirotta tutta la navigazione HTTPS in modo che i certificati sembrino sempre validi anche se non lo sono, e lo hanno fatto in tale modo insicuro che qualsiasi kiddie hacker di script possa realizzare la stessa cosa.
E poi stanno installando un proxy nel tuo browser e forzando tutta la tua navigazione attraverso di esso in modo che possano inserire annunci. Esatto, anche quando ti connetti alla tua banca, al tuo sito di assicurazione sanitaria o ovunque che sia sicuro. E non lo sapresti mai, perché hanno infranto la crittografia di Windows per mostrarti pubblicità.
Ma il fatto triste e triste è che non sono gli unici a farlo - adware come Wajam, Geniusbox, Content Explorer e altri stanno facendo esattamente la stessa cosa, installare i propri certificati e forzare tutta la tua navigazione (incluse le sessioni di navigazione crittografate HTTPS) per passare attraverso il loro server proxy. E puoi essere infettato da queste sciocchezze semplicemente installando due delle 10 migliori app su CNET Downloads.
La linea di fondo è che non ci si può più fidare dell'icona del lucchetto verde nella barra degli indirizzi del browser. E questa è una cosa spaventosa e spaventosa.
Come funziona l'HTTPS-Hijacking Adware e perché è così dannoso
Ummm, ho bisogno che tu vada avanti e chiudo quella scheda. Mmkay?Come abbiamo già dimostrato, se commetti l'enorme gigantesco errore di fidarti di CNET Download, potresti già essere infettato da questo tipo di adware. Due dei dieci download principali su CNET (KMPlayer e YTD) stanno raggruppando due diversi tipi di adware per hijack HTTPS, e nella nostra ricerca abbiamo scoperto che molti altri siti freeware stanno facendo la stessa cosa.
Nota: gli installatori sono così complicati e contorti che non siamo sicuri di chi sia tecnicamente facendo il "bundling", ma CNET sta promuovendo queste app sulla loro home page, quindi è davvero una questione di semantica. Se stai raccomandando che le persone scarichino qualcosa di negativo, sei ugualmente in errore. Abbiamo anche scoperto che molte di queste aziende adware sono segretamente le stesse persone che usano nomi di società diversi.
Sulla base dei numeri di download della top 10 dei download CNET da soli, un milione di persone vengono infettate ogni mese con adware che sta rubando le loro sessioni web crittografate alla loro banca, o posta elettronica, o qualsiasi cosa che dovrebbe essere sicura.
Se hai commesso l'errore di installare KMPlayer e riesci a ignorare tutti gli altri crapware, ti verrà presentata questa finestra. E se accidentalmente fai clic su Accetta (o premi la chiave sbagliata) il tuo sistema verrà bloccato.
I siti di download dovrebbero vergognarsi di se stessi.Se hai finito per scaricare qualcosa da una fonte ancora più imprecisa, come gli annunci di download nel tuo motore di ricerca preferito, vedrai un intero elenco di cose che non sono buone. E ora sappiamo che molti di loro interromperanno completamente la convalida dei certificati HTTPS, lasciandoti completamente vulnerabile.
Lavasoft Web Companion rompe anche la crittografia HTTPS, ma questo bundler ha installato anche l'adware.Una volta che vieni infettato da una di queste cose, la prima cosa che accade è che imposta il proxy di sistema per l'esecuzione attraverso un proxy locale che installa sul tuo computer. Prestare particolare attenzione all'elemento "Sicuro" di seguito. In questo caso è stato da Wajam Internet "Enhancer", ma potrebbe essere Superfish o Geniusbox o uno degli altri che abbiamo trovato, funzionano tutti allo stesso modo.
È ironico che Lenovo abbia usato la parola "migliorare" per descrivere Superfish.Quando vai in un sito che dovrebbe essere sicuro, vedrai l'icona del lucchetto verde e tutto apparirà perfettamente normale. Puoi anche cliccare sul lucchetto per vedere i dettagli, e sembrerà che tutto vada bene. Stai utilizzando una connessione sicura e persino Google Chrome ti comunicherà che sei connesso a Google con una connessione sicura. Ma tu non lo sei!
System Alert LLC non è un vero certificato di root e in realtà stai attraversando un proxy Man-in-the-Middle che sta inserendo annunci nelle pagine (e chissà che altro). Dovresti semplicemente mandare per email tutte le tue password, sarebbe più facile.
Avviso di sistema: il tuo sistema è stato compromesso.Una volta installato l'adware e trasmesso tutto il traffico, inizierai a vedere annunci davvero odiosi ovunque. Questi annunci vengono visualizzati su siti sicuri, come Google, sostituiscono gli annunci Google effettivi o vengono visualizzati come popup in tutto il luogo, rilevando ogni sito.
Mi piacerebbe il mio Google senza collegamenti malware, grazie.La maggior parte di questo adware mostra collegamenti "ad" al vero e proprio malware. Quindi, mentre l'adware stesso potrebbe essere un fastidio legale, abilitano alcune cose davvero, veramente brutte.
Compiono questo installando i loro falsi certificati root nell'archivio certificati di Windows e quindi facendo il proxy delle connessioni sicure durante la firma con il loro certificato falso.
Se guardi nel pannello Certificati di Windows, puoi vedere tutti i tipi di certificati completamente validi ... ma se sul tuo PC è installato qualche tipo di adware, vedrai cose false come System Alert, LLC o Superfish, Wajam o dozzine di altri falsi.
È quello della società Umbrella?Anche se sei stato infettato e quindi rimosso il malware, i certificati potrebbero ancora essere lì, rendendoti vulnerabile ad altri hacker che potrebbero aver estratto le chiavi private. Molti dei programmi di installazione di adware non rimuovono i certificati quando li si disinstalla.
Sono All Man-in-the-Middle Attacks ed ecco come funzionano
Questo è da un vero attacco dal famoso ricercatore di sicurezza Rob GrahamSe il tuo PC ha certificati radice falsi installati nell'archivio certificati, ora sei vulnerabile agli attacchi Man-in-the-Middle. Ciò significa che se ti connetti a un hotspot pubblico o se qualcuno accede alla tua rete o se riesce a violare qualcosa a monte, puoi sostituire siti legittimi con siti falsi. Questo potrebbe sembrare inverosimile, ma gli hacker sono stati in grado di utilizzare i dirottamenti DNS su alcuni dei più grandi siti sul web per dirottare gli utenti su un sito falso.
Una volta che sei stato dirottato, possono leggere ogni singola cosa che invii a un sito privato: password, informazioni private, informazioni sulla salute, e-mail, numeri di previdenza sociale, informazioni bancarie, ecc. E non lo saprai mai perché il tuo browser ti dirà che la tua connessione sia sicura.
Funziona perché la crittografia a chiave pubblica richiede sia una chiave pubblica che una chiave privata. Le chiavi pubbliche sono installate nell'archivio certificati e la chiave privata deve essere conosciuta solo dal sito Web che stai visitando. Ma quando gli aggressori possono dirottare il tuo certificato di root e contenere sia le chiavi pubbliche che quelle private, possono fare tutto ciò che vogliono.
Nel caso di Superfish, hanno usato la stessa chiave privata su ogni computer su cui è installato Superfish, e in poche ore i ricercatori della sicurezza sono riusciti a estrarre le chiavi private e creare siti Web per testare se sei vulnerabile e dimostrare che potresti essere dirottato Per Wajam e Geniusbox, le chiavi sono diverse, ma Content Explorer e altri adware utilizzano anche le stesse chiavi ovunque, il che significa che questo problema non è esclusivo di Superfish.
Diventa peggio: la maggior parte di questa crap disabilita completamente la convalida HTTPS
Proprio ieri, i ricercatori di sicurezza hanno scoperto un problema ancora più grande: tutti questi proxy HTTPS disattivano tutte le convalide facendolo apparire come se tutto andasse bene.
Ciò significa che puoi visitare un sito Web HTTPS con un certificato completamente non valido e questo adware ti dirà che il sito è perfetto. Abbiamo testato l'adware che abbiamo menzionato in precedenza e stanno disabilitando completamente la convalida HTTPS, quindi non importa se le chiavi private sono univoche o no. Incredibilmente cattivo!
Tutto questo adware interrompe completamente il controllo dei certificati.Chiunque abbia installato adware è vulnerabile a tutti i tipi di attacchi e in molti casi continua a essere vulnerabile anche quando viene rimosso l'adware.
Puoi verificare se sei vulnerabile a Superfish, Komodia, o verificare i certificati non validi utilizzando il sito di test creato dai ricercatori di sicurezza, ma come abbiamo già dimostrato, c'è molto più adware là fuori che fa la stessa cosa, e dalla nostra ricerca , le cose continueranno a peggiorare.
Proteggiti: controlla il pannello Certificati ed elimina le voci non valide
Se sei preoccupato, dovresti controllare l'archivio dei certificati per assicurarti di non aver installato alcun certificato di schizzo che possa essere successivamente attivato dal server proxy di qualcuno. Questo può essere un po 'complicato, perché ci sono molte cose lì dentro e la maggior parte dovrebbe essere lì. Inoltre, non abbiamo una buona lista di ciò che dovrebbe e non dovrebbe esserci.
Utilizzare WIN + R per visualizzare la finestra di dialogo Esegui, quindi digitare "mmc" per visualizzare una finestra di Microsoft Management Console. Quindi utilizzare File -> Aggiungi / Rimuovi snap-in e selezionare Certificati dall'elenco a sinistra, quindi aggiungerlo sul lato destro. Assicurati di selezionare Account computer nella finestra di dialogo successiva, quindi fai clic sul resto.
Ti consigliamo di andare alle Autorità di certificazione delle fonti attendibili e cercare voci davvero vaghe come queste (o qualcosa di simile a queste)
- Sendori
- Purelead
- Rocket Tab
- Super Fish
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler è uno strumento di sviluppo legittimo ma il malware ha dirottato il loro cert)
- System Alerts, LLC
- CE_UmbrellaCert
Fai clic con il pulsante destro del mouse ed elimina tutte le voci che trovi. Se hai visto qualcosa di non corretto quando hai provato Google nel tuo browser, assicurati di eliminarlo anche tu. Stai attento, perché se elimini qui le cose sbagliate, interromperai Windows.
Speriamo che Microsoft rilasci qualcosa per controllare i certificati di root e assicurarsi che ci siano solo quelli buoni. In teoria è possibile utilizzare questo elenco di Microsoft dei certificati richiesti da Windows e quindi aggiornare i certificati root più recenti, ma a questo punto non è ancora stato testato, e non lo consigliamo a tutti fino a quando qualcuno non lo verificherà.
Successivamente, avrai bisogno di aprire il tuo browser web e trovare i certificati che sono probabilmente memorizzati nella cache. Per Google Chrome, vai su Impostazioni, Impostazioni avanzate, quindi su Gestisci certificati. In Personal, puoi facilmente fare clic sul pulsante Rimuovi su eventuali certificati errati ...
Ma quando vai alle Autorità di certificazione delle fonti di fiducia, dovrai fare clic su Avanzate e quindi deselezionare tutto ciò che vedi smettere di dare le autorizzazioni a quel certificato ...
Ma questa è follia.
Vai in fondo alla finestra Impostazioni avanzate e fai clic su Ripristina impostazioni per ripristinare completamente i valori predefiniti di Chrome. Fai lo stesso per qualsiasi altro browser che stai utilizzando, o disinstallalo completamente, cancellando tutte le impostazioni, quindi installalo di nuovo.
Se il tuo computer è stato interessato, probabilmente stai meglio facendo un'installazione completamente pulita di Windows. Assicurati di fare il backup dei tuoi documenti e immagini e tutto il resto.
Quindi come proteggersi??
È quasi impossibile proteggerti completamente, ma ecco alcune linee guida di buon senso per aiutarti:
- Controllare il sito di prova di validazione Superfish / Komodia / Certification.
- Abilita Click-To-Play per i plug-in del tuo browser, che ti aiuteranno a proteggerti da tutti quei buchi di sicurezza zero-day e altri plug-in di sicurezza ci sono.
- Stai molto attento a ciò che scarichi e prova ad usare Ninite quando devi assolutamente.
- Prestare attenzione a ciò che si sta facendo clic ogni volta che si fa clic.
- Prendi in considerazione l'utilizzo del Enhanced Mitigation Experience Toolkit (EMET) di Microsoft o di Malwarebytes Anti-Exploit per proteggere il tuo browser e altre applicazioni critiche da falle nella sicurezza e attacchi zero-day.
- Assicurati che tutto il software, i plug-in e l'antivirus rimangano aggiornati e che includano anche gli aggiornamenti di Windows.
Ma è un sacco di lavoro per voler solo navigare sul web senza essere dirottato. È come trattare con la TSA.
L'ecosistema Windows è una cavalcata di crapware. E ora la sicurezza fondamentale di Internet è rotta per gli utenti di Windows. Microsoft ha bisogno di risolvere questo problema.