A Download.com és társai a Superfish-stílusú HTTPS Breaking Adware csomagot tartalmazzák

May 20, 2025
Adatvédelem és biztonság
BETŰTELEN TARTALOM

Ijesztő idő Windows-felhasználónak lenni. A Lenovo HTTPS-eltérítő Superfish adware-t csomagolt , A Comodo még rosszabb biztonsági lyukkal hajózik, PrivDog néven, és több tucat egyéb alkalmazás mint a LavaSoft ugyanezt teszik. Nagyon rossz, de ha azt akarod, hogy a titkosított webes munkameneteket eltérítsék, csak a CNET letöltésekhez vagy bármely ingyenes webhelyhez látogass el, mert most már mind HTTPS-t bontó reklámprogramokat csomagolnak.

ÖSSZEFÜGGŐ: Íme, mi történik, ha telepíti a 10 legnépszerűbb Download.com alkalmazást

A Superfish fiaskó akkor kezdődött, amikor a kutatók észrevették, hogy a Lenovo számítógépekkel együtt szállított Superfish hamis gyökértanúsítványt telepít a Windows rendszerbe, amely lényegében eltéríti az összes HTTPS böngészést, így a tanúsítványok mindig érvényesnek tűnnek, még akkor is, ha nem, és ezt egy ilyen bizonytalan módon, hogy bármelyik szkriptes gyerek hacker el tudja érni ugyanazt.

Ezután telepítenek egy proxyt a böngészőjébe, és az összes böngészést arra kényszerítik, hogy hirdetéseket tudjanak beszúrni. Ez így van, még akkor is, ha csatlakozik a bankjához, az egészségbiztosítási webhelyhez vagy bárhová, amelynek biztonságosnak kell lennie. És soha nem is tudhatnád, mert a Windows titkosítását megsértették, hogy hirdetéseket jelenítsenek meg.

De a szomorú, szomorú tény az, hogy nem csak ők teszik ezt - olyan reklámprogramok, mint a Wajam, a Geniusbox, a Content Explorer és mások, pontosan ugyanazt csinálják , saját tanúsítványaik telepítése és az összes böngészés (beleértve a HTTPS titkosított böngészési munkameneteket is) kényszerítése arra, hogy a proxy szerveren keresztül menjenek. És megfertőzheti ezt a hülyeséget, ha telepíti a top 10 alkalmazás közül kettőt a CNET letöltésekre.

A lényeg az, hogy már nem bízhat abban a zöld zár ikonban a böngésző címsorában. És ez ijesztő, félelmetes dolog.

Hogyan működik a HTTPS-Hijacking Adware, és miért olyan rossz

Ööööö, szükségem lesz rád, és bezárod a lapot. Mmkay?

Amint azt már korábban bemutattuk, ha óriási óriási hibát követ el, ha megbízik a CNET letöltésekben, akkor már megfertőzheti ezt a típusú adware-t. A CNET első tíz letöltéséből kettő (KMPlayer és YTD) két különböző típusú HTTPS-eltérítő adware-t tartalmaz , és kutatásunk során azt tapasztaltuk, hogy a legtöbb más freeware webhely ugyanazt csinálja.

Jegyzet: a telepítők annyira trükkök és összeszedettek, hogy nem vagyunk biztosak benne, ki az technikailag a „csomagolást” végzi, de a CNET ezeket az alkalmazásokat népszerűsíti a kezdőlapján, így ez valóban szemantika kérdése. Ha azt javasolja, hogy az emberek töltsenek le valamit, ami rossz, akkor ugyanúgy hibás vagy. Megállapítottuk azt is, hogy ezek közül a reklámprogramokat gyártó cégek közül sok titokban ugyanaz az ember, aki különböző cégneveket használ.

Csak a CNET letöltések top 10 listáján szereplő letöltési számok alapján havonta egymillió ember fertőződik meg olyan reklámprogramokkal, amelyek a titkosított webes munkameneteiket elrabolják bankjukhoz, e-mailjükhöz vagy bármi máshoz, ami biztonságosnak kell lenniük.

Ha hibát követett el a KMPlayer telepítésekor, és sikerül figyelmen kívül hagynia az összes többi crapware-t, akkor ez az ablak jelenik meg. És ha véletlenül rákattint az Elfogadás gombra (vagy rossz kulcsot nyom meg), akkor a rendszer fel fog változni.

A letöltő oldalaknak szégyellniük kell magukat.

Ha végül egy még vázlatosabb forrásból töltött le valamit, például a kedvenc keresőmotorjának letöltési hirdetéseit, akkor egy teljes listát talál a nem megfelelő dolgokról. És most már tudjuk, hogy sokan teljesen meg fogják szüntetni a HTTPS tanúsítvány érvényesítését, így teljesen kiszolgáltatottá válnak.

A Lavasoft Web Companion szintén megszakítja a HTTPS titkosítást, de ez a csomag is telepített hirdetési programokat.

Miután megfertőzte magát ezen dolgok bármelyikével, először az történik, hogy a rendszer proxyját úgy állítja be, hogy egy helyi proxyn keresztül fusson, amelyet telepít a számítógépére. Fordítson különös figyelmet az alábbi „Biztonságos” elemre. Ebben az esetben a Wajam Internet “Enhancer” -jéből származott, de lehet, hogy a Superfish vagy a Geniusbox, vagy bármely más, amit találtunk, mind ugyanúgy működnek.

Ironikus, hogy a Lenovo az „enhanc” szót használta a Superfish leírására.

Ha olyan webhelyre megy, amelynek biztonságosnak kell lennie, megjelenik a zöld zár ikon, és minden teljesen normálisan fog kinézni. Akár a zárra is kattintva megtekintheti a részleteket, és úgy tűnik, hogy minden rendben van. Biztonságos kapcsolatot használ, és még a Google Chrome is jelenteni fogja, hogy biztonságos kapcsolattal csatlakozik a Google-hoz. De nem vagy az!

A System Alerts LLC nem egy valódi gyökértanúsítvány, és valójában egy Man-in-the-Middle proxy-n megy keresztül, amely hirdetéseket helyez el az oldalakon (és ki tudja még mit). Csak küldje el nekik az összes jelszavát, így könnyebb lenne.

Rendszerriasztás: A rendszerét feltörték.

Miután az adware telepítve van, és az összes forgalmát proxybe helyezi, akkor valóban kellemetlen hirdetések jelennek meg az egész helyen. Ezek a hirdetések biztonságos webhelyeken jelennek meg, például a Google-ban, a tényleges Google-hirdetések helyébe lépnek, vagy felugró ablakokként jelennek meg mindenhol, minden webhelyet átvesznek.

Szeretném, ha a Google rosszindulatú programok linkje nélkül lenne, köszönöm.

Ennek a reklámprogramnak a nagy része „hirdetési” linkeket mutat egyenesen rosszindulatú programokhoz. Tehát bár maga az adware jogi kellemetlenséget okozhat, nagyon-nagyon rossz dolgokat tesznek lehetővé.

Ezt úgy valósítják meg, hogy hamis gyökértanúsítványaikat telepítik a Windows tanúsítványtárolóba, majd a biztonságos kapcsolatokat proxykolják, miközben hamis tanúsítványukkal aláírják őket.

Ha belenéz a Windows Tanúsítványok paneljébe, mindenféle teljesen érvényes tanúsítványt láthat ... de ha a számítógépére valamilyen típusú adware van telepítve, akkor hamis dolgokat fog látni, mint például a System Alerts, LLC vagy a Superfish, Wajam vagy tucatnyi más hamisítvány.

Az Umbrella Corporation-től származik?

Még akkor is, ha megfertőzte, majd eltávolította a rosszindulatú programot, a tanúsítványok továbbra is megvannak, így sebezhetővé válnak más hackerekkel szemben, amelyek kibontották a privát kulcsokat. Sok adware-telepítő nem távolítja el a tanúsítványokat, amikor eltávolítja őket.

Mindegyik ember a középen támadás, és így működik

Ez a fantasztikus biztonsági kutató valódi élő támadásából származik Rob Graham

Ha számítógépén hamis gyökértanúsítványok vannak telepítve a tanúsítványtárolóba, akkor most kiszolgáltatottak vagyunk a Közép-Man támadásoknak. Ez azt jelenti, hogy ha csatlakozik egy nyilvános hotspothoz, vagy ha valaki hozzáfér a hálózathoz, vagy ha valamilyen feltörést sikerül feltörnie, akkor a törvényes webhelyeket hamis webhelyekkel helyettesítheti. Lehet, hogy ez messze elkapottnak tűnik, de a hackerek képesek voltak a DNS-eltérítéseket az internet egyik legnagyobb webhelyén felhasználni, hogy eltérítsék a felhasználókat egy hamis webhelyről.

Miután elrabolják, elolvashatnak minden egyes dolgot, amelyet beküld egy privát webhelyre - jelszavakat, személyes információkat, egészségügyi információkat, e-maileket, társadalombiztosítási számokat, banki információkat stb. És soha nem fogja tudni, mert a böngészője megmondja hogy biztonságos a kapcsolata.

Ez azért működik, mert a nyilvános kulcs titkosításához nyilvános és privát kulcs is szükséges. A nyilvános kulcsok a tanúsítványtárolóba vannak telepítve, és a privát kulcsot csak a látogatott webhely ismerheti meg. De amikor a támadók eltéríthetik a gyökértanúsítványt, és birtokolhatják a nyilvános és a magánkulcsot is, bármit megtehetnek, amit csak akarnak.

A Superfish esetében ugyanazt a privát kulcsot használták minden számítógépen, amelyre a Superfish telepítve van, és néhány órán belül a biztonsági kutatók elő tudták nyerni a magánkulcsokat és weboldalakat hozhat létre tesztelje, hogy sérülékeny-e , és bizonyítsd be, hogy elrabolhatják. A Wajam és a Geniusbox esetében a kulcsok különböznek, de a Content Explorer és néhány más reklámprogram is mindenhol ugyanazokat a kulcsokat használja, ami azt jelenti, hogy ez a probléma nem csak a Superfishre jellemző.

Sokkal rosszabbá válik: A legtöbb ilyen vacak teljesen letiltja a HTTPS érvényesítést

Tegnap a biztonsági kutatók még nagyobb problémát fedeztek fel: Mindezek a HTTPS-proxyk letiltják az összes érvényesítést, miközben úgy tűnik, hogy minden rendben van.

Ez azt jelenti, hogy felkereshet egy teljesen érvénytelen tanúsítvánnyal rendelkező HTTPS-webhelyet, és ez az adware azt fogja mondani, hogy a webhely rendben van. Kipróbáltuk a korábban említett reklámprogramokat, és mindegyikük teljesen letiltja a HTTPS érvényesítést, így nem mindegy, hogy a privát kulcsok egyediek-e vagy sem. Megdöbbentően rossz!

Mindez az adware teljesen megszakítja a tanúsítványellenőrzést.

Bárki, akinek telepítve van a reklámprogramja, kiszolgáltatott mindenféle támadásnak, és sok esetben továbbra is sérülékeny, még akkor is, ha a reklámprogramot eltávolítják.

A (z) segítségével ellenőrizheti, hogy kiszolgáltatott-e a Superfish, a Komodia vagy az érvénytelen tanúsítványok ellenőrzésére a biztonsági kutatók által létrehozott teszthely , de amint azt már bemutattuk, sokkal több olyan adware van odakint, amely ugyanazt csinálja, és kutatásaink alapján a dolgok tovább romlani fognak.

Védje meg magát: Ellenőrizze a Tanúsítványok panelt és törölje a hibás bejegyzéseket

Ha aggódik, akkor ellenőrizze a tanúsítványtárolót, hogy megbizonyosodjon arról, hogy nincsenek-e olyan vázlatos tanúsítványai telepítve, amelyeket később valaki proxy szervere aktiválhat. Ez kissé bonyolult lehet, mert sok minden van ott, és állítólag a legtöbb ott van. Nincs is jó felsorolásunk arról, hogy mi legyen és mit ne.

Használja a WIN + R billentyűkombinációt a Futtatás párbeszédpanel előhívásához, majd írja be az „mmc” parancsot a Microsoft Management Console ablak felhúzásához. Ezután használja a Fájl -> S-plug-inek hozzáadása / eltávolítása elemet, és válassza a Tanúsítványok lehetőséget a bal oldali listából, majd adja hozzá a jobb oldalon. A következő párbeszédpanelen válassza a Számítógépfiók lehetőséget, majd kattintson a többire.

Látogasson el a Megbízható Gyökér Tanúsító Hatóságokhoz, és keressen olyan vázlatos bejegyzéseket, mint ezek bármelyike ​​(vagy ezekhez hasonló)

  • Sendori
  • Purelead
  • Rocket Tab
  • Szuper hal
  • Nézd meg ezt
  • Pando
  • Azam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (A Fiddler egy legitim fejlesztői eszköz, de a rosszindulatú programok eltérítették a tanúsítványukat)
  • System Alerts, LLC
  • CE_UmbrellaCert

Kattintson a jobb gombbal, és törölje a talált bejegyzések bármelyikét. Ha valami hibát látott, amikor tesztelte a Google-t a böngészőjében, akkor feltétlenül törölje azt is. Csak légy óvatos, mert ha itt rossz dolgokat töröl, akkor megtörik a Windows rendszert.

Reméljük, hogy a Microsoft kiad valamit, hogy ellenőrizze a gyökértanúsítványokat, és megbizonyosodjon arról, hogy csak jók vannak-e benne. Elméletileg használhatná a Microsoft által a Windows által megkívánt tanúsítványok listája , és akkor frissítés a legfrissebb gyökértanúsítványokra , de ez még nem tesztelt ezen a ponton, és valóban nem javasoljuk, amíg valaki ezt nem teszteli.

Ezután meg kell nyitnia a böngészőjét, és meg kell találnia a valószínűleg ott tárolt tanúsítványokat. A Google Chrome esetén lépjen a Beállítások, a Speciális beállítások, majd a Tanúsítványok kezelése elemre. A Személyes alatt egyszerűen rákattinthat az Eltávolítás gombra minden rossz tanúsítványon ...

De amikor a Megbízható Gyökér Tanúsító Hatóságokhoz látogat, akkor a Speciális gombra kell kattintania, majd törölnie kell mindent, amit lát, hogy ne adjon engedélyeket ennek a tanúsítványnak

De ez őrültség.

ÖSSZEFÜGGŐ: Ne próbálkozzon a fertőzött számítógép tisztításával! Csak Nuke it, és telepítse újra a Windows rendszert

Menjen a Speciális beállítások ablak aljára, és kattintson a Beállítások visszaállítása lehetőségre a Chrome alapértelmezett visszaállításához. Tegye ugyanezt bármely más használt böngésző esetén, vagy teljesen távolítsa el, törölje az összes beállítást, majd telepítse újra.

Ha a számítógépét érintette, akkor valószínűleg jobban jár teljesen tiszta Windows telepítést végez . Csak győződjön meg róla, hogy biztonsági másolatot készít a dokumentumokról és a képekről, és mindezekről.

Tehát hogyan védheti meg magát?

Szinte lehetetlen teljesen megvédeni magát, de itt van néhány józan ész iránymutatás, amely segít:

  • Ellenőrizd a Superfish / Komodia / Tanúsítás érvényesítési teszthely .
  • Engedélyezze a Click-to-Play alkalmazást a böngésző pluginjeihez , Melyik lesz segít megvédeni az összes nulla napos Flash-től és egyéb plugin biztonsági lyukak vannak.
  • Lenni nagyon óvatos, amit letölt és megpróbálja használja a Ninite-t, amikor feltétlenül szükséges .
  • Figyeljen arra, amire kattint, bármikor kattint.
  • Fontolja meg a használatát A Microsoft Enhanced Mitigation Experience Toolkit (EMET) vagy Malwarebytes Anti-Exploit a böngésző és más kritikus alkalmazások védelme a biztonsági rések és a nulla napos támadások ellen.
  • Győződjön meg arról, hogy az összes szoftver, bővítmény és víruskereső naprakész marad, és amely magában foglalja a Windows frissítéseket is .

De ez rettenetesen sok munka azért van, mert csak böngészni akar az interneten anélkül, hogy eltérítenék. Olyan, mint a TSA-val foglalkozni.

A Windows ökoszisztéma a crapware kavalkádja. És most az internet alapvető biztonsága megtört a Windows-felhasználók számára. A Microsoftnak meg kell oldania ezt.

.entry-tartalom .entry-footer

Adatvédelem és biztonság - Most Popular Articles

Hogyan távolítsuk el a vírusokat és a rosszindulatú programokat a Windows PC-n

Adatvédelem és biztonság Nov 12, 2024

Akár látott egy üzenetet, amely szerint vírust észleltek, vagy a számítógépe csak lassúnak és megbízhatatlannak tűnik, érdemes átkutatnia a rosszindulatú programokat..

A MacOS 10.13 High Sierra újdonságai, elérhető most

Adatvédelem és biztonság Oct 3, 2025

BETŰTELEN TARTALOM A macOS következő verziója most jelent meg, a Safari, a Mail, a Photos fejlesztéseivel, és sok minden a motorháztető alatt található. Íme a legjobb f..

Hogyan zárolhatjuk Mac-jünket, ha távol vagytok

Adatvédelem és biztonság Mar 30, 2025

BETŰTELEN TARTALOM Unod már, hogy gyerekeid vagy szobatársad buta dolgokat tesz közzé a Facebook-fiókodba, valahányszor elhagyod a szobát? Mindössze annyit kell tennie, h..

Mire szolgál a számítógépes hardver ovális furata?

Adatvédelem és biztonság Nov 22, 2024

BETŰTELEN TARTALOM Többnyire nem rejtély, hogy mire szolgálnak a számítógépes hardverünk külsején található különféle nyílások - a legtöbb port. De mi van azzal..

Lehetséges-e több SSH-kapcsolat ugyanahhoz a rendszerhez?

Adatvédelem és biztonság Feb 2, 2025

BETŰTELEN TARTALOM Amikor először állít be személyes szervert, elég sok kérdés merülhet fel bennünk arról, hogy mi ez, vagy nem képes rá. Ezt szem előtt tartva a ma..

Figyelem: Android-telefonjának böngészője valószínűleg nem kap biztonsági frissítéseket

Adatvédelem és biztonság Feb 6, 2025

BETŰTELEN TARTALOM A webböngésző az Android 4.3 és korábbi verzióiban sok nagy biztonsági problémája van , és A Google már nem fogja foltozni ..

A laptop telepítése nyomkövető szoftverrel arra az esetre, ha valaha is elveszítené

Adatvédelem és biztonság Jul 11, 2025

BETŰTELEN TARTALOM Az Apple egy „Find My Mac” szolgáltatást kínál az elveszett vagy ellopott ellopott Mac számítógép nyomon követésére. A Microsoft azonban nem ny�..

Mappák és fájlok megosztása a Vista és az XP gépek között

Adatvédelem és biztonság Mar 8, 2025

BETŰTELEN TARTALOM Mivel a Microsoftnak három operációs rendszere van használatban, valószínű, hogy meg kell osztania a fájlokat az XP, a Vista, a Windows 7 vagy a három valamilye..

Kategóriák