Download.com e altri raggruppano l'adware di rottura HTTPS in stile Superfish

May 20, 2025
Privacy e sicurezza
CONTENUTO UNCACHED

È un momento spaventoso per essere un utente Windows. Lenovo stava raggruppando l'adware Superfish che dirotta HTTPS , Comodo viene fornito con un buco di sicurezza ancora peggiore chiamato PrivDog, e dozzine di altre app come LavaSoft stanno facendo lo stesso. È davvero brutto, ma se vuoi che le tue sessioni web crittografate vengano dirottate, vai su CNET Downloads o su qualsiasi sito freeware, perché ora stanno tutti raggruppando adware HTTPS.

RELAZIONATO: Ecco cosa succede quando installi le 10 migliori app di Download.com

Il fiasco di Superfish è iniziato quando i ricercatori hanno notato che Superfish, in bundle su computer Lenovo, stava installando un falso certificato radice in Windows che essenzialmente dirotta tutta la navigazione HTTPS in modo che i certificati sembrino sempre validi anche se non lo sono, e lo hanno fatto in un simile modo insicuro che qualsiasi script kiddie hacker possa realizzare la stessa cosa.

E poi stanno installando un proxy nel tuo browser e costringendo tutta la tua navigazione attraverso di esso in modo che possano inserire annunci. Esatto, anche quando ti colleghi alla tua banca, al sito dell'assicurazione sanitaria o a qualsiasi altro luogo che dovrebbe essere sicuro. E non lo sapresti mai, perché hanno rotto la crittografia di Windows per mostrarti annunci.

Ma il fatto triste, triste è che non sono gli unici a farlo - adware come Wajam, Geniusbox, Content Explorer e altri stanno facendo tutti la stessa identica cosa , installando i propri certificati e forzando tutta la navigazione (comprese le sessioni di navigazione crittografate HTTPS) attraverso il loro server proxy. E puoi essere infettato da questa assurdità semplicemente installando due delle prime 10 app su CNET Downloads.

La conclusione è che non puoi più fidarti dell'icona del lucchetto verde nella barra degli indirizzi del browser. E questa è una cosa spaventosa, spaventosa.

Come funziona l'adware con dirottamento HTTPS e perché è così brutto

Ummm, avrò bisogno che tu vada avanti e chiuda quella scheda. Mmkay?

Come abbiamo dimostrato prima, se commetti l'enorme errore gigantesco di fidarti dei download CNET, potresti già essere infettato da questo tipo di adware. Due dei primi dieci download su CNET (KMPlayer e YTD) raggruppano due diversi tipi di adware dirottamento HTTPS e nella nostra ricerca abbiamo scoperto che la maggior parte degli altri siti freeware sta facendo la stessa cosa.

Nota: gli installatori sono così complicati e contorti che non siamo sicuri di chi sia tecnicamente facendo il "raggruppamento", ma CNET sta promuovendo queste app sulla loro home page, quindi è davvero una questione di semantica. Se stai raccomandando alle persone di scaricare qualcosa che non va bene, sei ugualmente colpevole. Abbiamo anche scoperto che molte di queste società di adware sono segretamente le stesse persone che utilizzano nomi di società diversi.

Sulla base dei numeri di download dalla lista dei primi 10 solo su CNET Downloads, un milione di persone vengono infettate ogni mese da adware che sta dirottando le loro sessioni web crittografate alla loro banca, o e-mail o qualsiasi cosa che dovrebbe essere sicura.

Se hai commesso l'errore di installare KMPlayer e riesci a ignorare tutti gli altri crapware, ti verrà presentata questa finestra. E se accidentalmente fai clic su Accetta (o premi il tasto sbagliato) il tuo sistema verrà pwnato.

I siti di download dovrebbero vergognarsi di se stessi.

Se hai finito per scaricare qualcosa da una fonte ancora più approssimativa, come gli annunci di download nel tuo motore di ricerca preferito, vedrai un intero elenco di cose che non vanno bene. E ora sappiamo che molti di loro interromperanno completamente la convalida del certificato HTTPS, lasciandoti completamente vulnerabile.

Lavasoft Web Companion rompe anche la crittografia HTTPS, ma questo bundler installa anche l'adware.

Una volta che ti sei infettato da una di queste cose, la prima cosa che accade è che imposta il proxy di sistema in modo che venga eseguito attraverso un proxy locale che installa sul tuo computer. Prestare particolare attenzione alla voce "Sicuro" di seguito. In questo caso era di Wajam Internet "Enhancer", ma potrebbe essere Superfish o Geniusbox o uno qualsiasi degli altri che abbiamo trovato, funzionano tutti allo stesso modo.

È ironico che Lenovo abbia usato la parola "migliorare" per descrivere Superfish.

Quando visiti un sito che dovrebbe essere sicuro, vedrai l'icona del lucchetto verde e tutto sembrerà perfettamente normale. Puoi anche fare clic sul lucchetto per vedere i dettagli e sembrerà che tutto sia a posto. Stai utilizzando una connessione sicura e persino Google Chrome segnalerà che sei connesso a Google con una connessione sicura. Ma non lo sei!

System Alerts LLC non è un vero certificato radice e in realtà stai attraversando un proxy Man-in-the-Middle che inserisce annunci nelle pagine (e chissà cos'altro). Dovresti semplicemente inviare loro tutte le tue password via email, sarebbe più facile.

Avviso di sistema: il sistema è stato compromesso.

Una volta installato l'adware e inviato tramite proxy tutto il tuo traffico, inizierai a vedere annunci davvero odiosi dappertutto. Questi annunci vengono visualizzati su siti protetti, come Google, sostituendo gli annunci Google effettivi, oppure vengono visualizzati come popup ovunque, occupando ogni sito.

Vorrei che il mio Google senza link di malware, grazie.

La maggior parte di questo adware mostra collegamenti "pubblicitari" a malware definitivo. Quindi, anche se l'adware stesso potrebbe essere un fastidio legale, abilitano alcune cose davvero, davvero brutte.

Lo fanno installando i loro certificati radice falsi nell'archivio certificati di Windows e quindi inviando tramite proxy le connessioni protette mentre le firmano con il loro certificato falso.

Se guardi nel pannello dei certificati di Windows, puoi vedere tutti i tipi di certificati completamente validi ... ma se il tuo PC ha qualche tipo di adware installato, vedrai cose false come avvisi di sistema, LLC o Superfish, Wajam o dozzine di altri falsi.

È della Umbrella Corporation?

Anche se sei stato infettato e poi hai rimosso il badware, i certificati potrebbero essere ancora lì, rendendoti vulnerabile ad altri hacker che potrebbero aver estratto le chiavi private. Molti degli installatori di adware non rimuovono i certificati quando vengono disinstallati.

Sono tutti attacchi man-in-the-middle ed ecco come funzionano

Questo proviene da un vero attacco dal vivo da parte del fantastico ricercatore di sicurezza Rob Graham

Se il tuo PC ha certificati root falsi installati nell'archivio certificati, ora sei vulnerabile agli attacchi Man-in-the-Middle. Ciò significa che se ti connetti a un hotspot pubblico, o qualcuno accede alla tua rete o riesce a hackerare qualcosa a monte da te, può sostituire i siti legittimi con siti falsi. Questo potrebbe sembrare inverosimile, ma gli hacker sono stati in grado di utilizzare i dirottamenti DNS su alcuni dei più grandi siti del Web per dirottare gli utenti a un sito falso.

Una volta che vieni dirottato, possono leggere ogni singola cosa che invii a un sito privato: password, informazioni private, informazioni sanitarie, e-mail, numeri di previdenza sociale, informazioni bancarie, ecc. E non lo saprai mai perché il tuo browser te lo dirà che la tua connessione è sicura.

Questo funziona perché la crittografia della chiave pubblica richiede sia una chiave pubblica che una chiave privata. Le chiavi pubbliche vengono installate nell'archivio certificati e la chiave privata dovrebbe essere conosciuta solo dal sito Web che si sta visitando. Ma quando gli aggressori possono dirottare il tuo certificato radice e detenere sia la chiave pubblica che quella privata, possono fare tutto ciò che vogliono.

Nel caso di Superfish, hanno utilizzato la stessa chiave privata su tutti i computer su cui è installato Superfish e, in poche ore, i ricercatori di sicurezza sono stati in grado di estrarre le chiavi private e creare siti web per verifica se sei vulnerabile e dimostrare che potresti essere dirottato. Per Wajam e Geniusbox, le chiavi sono diverse, ma anche Content Explorer e alcuni altri adware utilizzano le stesse chiavi ovunque, il che significa che questo problema non è esclusivo di Superfish.

Peggio ancora: la maggior parte di questa schifezza disabilita completamente la convalida HTTPS

Proprio ieri, i ricercatori di sicurezza hanno scoperto un problema ancora più grande: tutti questi proxy HTTPS disabilitano tutta la convalida facendo sembrare che tutto vada bene.

Ciò significa che puoi visitare un sito Web HTTPS che ha un certificato completamente non valido e questo adware ti dirà che il sito va bene. Abbiamo testato l'adware che abbiamo menzionato in precedenza e stanno tutti disabilitando completamente la convalida HTTPS, quindi non importa se le chiavi private sono univoche o meno. Incredibilmente brutto!

Tutto questo adware interrompe completamente il controllo dei certificati.

Chiunque abbia installato un adware è vulnerabile a tutti i tipi di attacchi e in molti casi continua a essere vulnerabile anche quando l'adware viene rimosso.

Puoi verificare se sei vulnerabile a Superfish, Komodia o al controllo di certificati non validi utilizzando il sito di test creato dai ricercatori della sicurezza , ma come abbiamo già dimostrato, ci sono molti più adware là fuori che fanno la stessa cosa e, dalla nostra ricerca, le cose continueranno a peggiorare.

Proteggiti: controlla il pannello dei certificati ed elimina le voci errate

Se sei preoccupato, dovresti controllare il tuo archivio certificati per assicurarti di non avere alcun certificato impreciso installato che potrebbe essere successivamente attivato dal server proxy di qualcuno. Questo può essere un po 'complicato, perché ci sono molte cose lì dentro e la maggior parte dovrebbe essere lì. Inoltre non abbiamo una buona lista di cosa dovrebbe e non dovrebbe esserci.

Utilizzare WIN + R per aprire la finestra di dialogo Esegui, quindi digitare "mmc" per visualizzare una finestra di Microsoft Management Console. Quindi utilizzare File -> Aggiungi / Rimuovi snap-in e selezionare Certificati dall'elenco a sinistra, quindi aggiungerlo a destra. Assicurati di selezionare Account del computer nella finestra di dialogo successiva, quindi fai clic sul resto.

Ti consigliamo di andare alle Autorità di certificazione radice attendibili e cercare voci davvero imprecise come una di queste (o qualcosa di simile a queste)

  • Sendori
  • Purelead
  • Scheda Rocket
  • Super Fish
  • Lookthisup
  • Pando
  • Azam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler è uno strumento di sviluppo legittimo ma il malware ha dirottato il loro certificato)
  • Avvisi di sistema, LLC
  • CE_UmbrellaCert

Fare clic con il pulsante destro del mouse ed eliminare tutte le voci che si trovano. Se hai visto qualcosa di sbagliato quando hai testato Google nel tuo browser, assicurati di eliminare anche quello. Fai solo attenzione, perché se elimini le cose sbagliate qui, interromperai Windows.

Speriamo che Microsoft rilasci qualcosa per controllare i tuoi certificati di root e assicurarci che siano presenti solo quelli buoni. Teoricamente potresti usare questo elenco da Microsoft dei certificati richiesti da Windows , e poi aggiornamento ai certificati radice più recenti , ma a questo punto non è completamente testato e non lo consigliamo davvero finché qualcuno non lo prova.

Successivamente, dovrai aprire il browser web e trovare i certificati che probabilmente sono memorizzati nella cache. Per Google Chrome, vai su Impostazioni, Impostazioni avanzate e quindi Gestisci certificati. In Personale, puoi facilmente fare clic sul pulsante Rimuovi su qualsiasi certificato non valido ...

Ma quando vai su Autorità di certificazione radice attendibili, dovrai fare clic su Avanzate e quindi deselezionare tutto ciò che vedi per interrompere la concessione di autorizzazioni a quel certificato ...

Ma questa è follia.

RELAZIONATO: Smetti di provare a pulire il tuo computer infetto! Basta nuke e reinstallare Windows

Vai in fondo alla finestra Impostazioni avanzate e fai clic su Ripristina impostazioni per ripristinare completamente le impostazioni predefinite di Chrome. Fai lo stesso per qualunque altro browser stai utilizzando, o disinstalla completamente, cancellando tutte le impostazioni e quindi installalo di nuovo.

Se il tuo computer è stato colpito, probabilmente stai meglio eseguire un'installazione completamente pulita di Windows . Assicurati solo di eseguire il backup di documenti, immagini e tutto il resto.

Allora come ti proteggi?

È quasi impossibile proteggersi completamente, ma ecco alcune linee guida di buon senso per aiutarti:

  • Controlla il Superfish / Komodia / Sito di test di convalida della certificazione .
  • Abilita Click-To-Play per i plugin nel tuo browser , che lo farà aiuta a proteggerti da tutti quei Flash zero-day e altri buchi nella sicurezza dei plugin.
  • Essere molto attento a ciò che scarichi e prova a usa Ninite quando devi assolutamente .
  • Presta attenzione a ciò su cui fai clic ogni volta che fai clic.
  • Considera l'utilizzo Enhanced Mitigation Experience Toolkit (EMET) di Microsoft o Malwarebytes Anti-Exploit per proteggere il tuo browser e altre applicazioni critiche da falle di sicurezza e attacchi zero-day.
  • Assicurati che tutto il software, i plug-in e l'antivirus siano aggiornati e che include anche gli aggiornamenti di Windows .

Ma è un lavoro tremendo solo per voler navigare sul Web senza essere dirottati. È come avere a che fare con la TSA.

L'ecosistema Windows è una cavalcata di crapware. E ora la sicurezza fondamentale di Internet è interrotta per gli utenti Windows. Microsoft ha bisogno di risolvere questo problema.

Privacy e sicurezza - Articoli più popolari

Come disattivare la protezione in tempo reale in Microsoft Defender su Windows 10

Privacy e sicurezza Jul 6, 2025

Per impostazione predefinita, il programma antivirus integrato di Windows 10 si chiama Microsoft Defender esegue la scansione del tuo PC alla ricerca di minacce in te..

Come impedire che il tuo account Disney + venga hackerato

Privacy e sicurezza Jul 10, 2025

CONTENUTO UNCACHED Ivan Marc / Shutterstock.com Migliaia di Disney + gli account sono stati "violati" e lo sono in vendi..

Come impostare una connessione Ethernet come misurata in Windows 8 e 10

Privacy e sicurezza Jul 5, 2025

CONTENUTO UNCACHED Windows 8 e 10 consentono entrambi di impostare alcuni tipi di connessioni come file misurato in modo da poter limitare la quantità di ..

Come bloccare o gestire le notifiche in Google Chrome

Privacy e sicurezza Mar 1, 2025

Le webapp hanno fatto molta strada. Grazie a funzionalità come le notifiche, possono persino sostituire le tradizionali app desktop per molte persone. Ma se preferisci non essere b..

Come rendere Windows cancella il tuo file di paging all'arresto (e quando dovresti)

Privacy e sicurezza Nov 29, 2024

Windows utilizza un file paging file , noto anche come file di paging, come memoria virtuale aggiuntiva quando la RAM si riempie. Windows può cancellare il file di p..

Spiegazione dei PUP: che cos'è un "programma potenzialmente indesiderato"?

Privacy e sicurezza Nov 4, 2024

I programmi antimalware come Malwarebytes visualizzano avvisi quando rilevano "programmi potenzialmente indesiderati" che potresti voler rimuovere. Le persone chiamano i PUP molti a..

6 Sistemi operativi popolari che offrono crittografia predefinita

Privacy e sicurezza Nov 4, 2024

CONTENUTO UNCACHED I sistemi operativi più diffusi stanno utilizzando sempre di più crittografia per impostazione predefinita, offrendo a tutti il ​​vantaggio..

Come configurare un client VPN "Split Tunnel" (PPTP) su Ubuntu 10.04

Privacy e sicurezza Oct 11, 2025

A volte è necessario utilizzare una connessione VPN per concedere l'accesso alle risorse di rete remote e per questo si utilizza una VPN, ma se non si desidera che tutto il traffico del clie..

Categorie