Download.com e outros adware de quebra de HTTPS estilo Superfish

May 20, 2025
Privacidade e segurança
CONTEÚDO NÃO CHEGADO

É um momento assustador para ser um usuário do Windows. A Lenovo estava agregando o adware Superfish de sequestro de HTTPS , Comodo vem com uma falha de segurança ainda pior chamada PrivDog, e dezenas de outros aplicativos como LavaSoft estão fazendo o mesmo. É muito ruim, mas se você quiser que suas sessões criptografadas da web sejam sequestradas, basta acessar CNET Downloads ou qualquer site de freeware, porque todos eles estão agrupando adware de quebra de HTTPS agora.

RELACIONADOS: Aqui está o que acontece quando você instala os 10 principais aplicativos do Download.com

O fiasco do Superfish começou quando os pesquisadores notaram que o Superfish, empacotado nos computadores Lenovo, estava instalando um certificado raiz falso no Windows que essencialmente sequestra toda a navegação HTTPS para que os certificados sempre pareçam válidos mesmo se não forem, e eles fizeram isso em um maneira insegura de que qualquer hacker script kiddie pudesse realizar a mesma coisa.

E então eles estão instalando um proxy em seu navegador e forçando toda a sua navegação por ele para que possam inserir anúncios. Isso mesmo, mesmo quando você se conecta ao seu banco, ou site de seguro saúde, ou em qualquer lugar que deva ser seguro. E você nunca saberia, porque eles quebraram a criptografia do Windows para mostrar anúncios.

Mas o triste, triste fato é que eles não são os únicos fazendo isso - adware como Wajam, Geniusbox, Content Explorer e outros estão fazendo exatamente a mesma coisa , instalando seus próprios certificados e forçando toda a sua navegação (incluindo sessões de navegação criptografadas por HTTPS) a passar por seu servidor proxy. E você pode se infectar com esse absurdo apenas instalando dois dos 10 principais aplicativos em Downloads CNET.

O resultado final é que você não pode mais confiar naquele ícone de cadeado verde na barra de endereço do seu navegador. E isso é uma coisa assustadora, assustadora.

Como funciona o adware de sequestro de HTTPS e por que é tão ruim

Ummm, preciso que você feche essa guia. Mmkay?

Como mostramos antes, se você cometer o erro gigantesco de confiar nos downloads de CNET, já pode estar infectado com esse tipo de adware. Dois dos dez principais downloads em CNET (KMPlayer e YTD) estão agrupando dois tipos diferentes de adware de sequestro de HTTPS , e em nossa pesquisa descobrimos que a maioria dos outros sites de freeware estão fazendo a mesma coisa.

Nota: os instaladores são tão complicados e complicados que não temos certeza de quem é tecnicamente fazendo o "empacotamento", mas a CNET está promovendo esses aplicativos em sua página inicial, então é realmente uma questão de semântica. Se você está recomendando que as pessoas baixem algo que é ruim, você é igualmente culpado. Também descobrimos que muitas dessas empresas de adware são secretamente as mesmas pessoas, usando nomes de empresas diferentes.

Com base nos números de download da lista dos 10 principais downloads CNET sozinho, um milhão de pessoas são infectadas todos os meses com adware que está sequestrando suas sessões criptografadas da web para seu banco, ou e-mail ou qualquer coisa que deveria ser segura.

Se você cometeu o erro de instalar o KMPlayer e conseguiu ignorar todos os outros crapware, será apresentada esta janela. E se você acidentalmente clicar em Aceitar (ou pressionar a tecla errada), seu sistema será pwned.

Os sites de download devem ter vergonha de si mesmos.

Se você acabou baixando algo de uma fonte ainda mais incompleta, como os anúncios de download em seu mecanismo de pesquisa favorito, verá uma lista completa de coisas que não são boas. E agora sabemos que muitos deles vão quebrar completamente a validação do certificado HTTPS, deixando você completamente vulnerável.

Lavasoft Web Companion também quebra a criptografia HTTPS, mas este bundler instalou adware também.

Depois que você se infecta com qualquer uma dessas coisas, a primeira coisa que acontece é que ele configura o proxy do sistema para ser executado por meio de um proxy local que ele instala no computador. Preste atenção especial ao item “Seguro” abaixo. Nesse caso, era do Wajam Internet “Enhancer”, mas poderia ser Superfish ou Geniusbox ou qualquer um dos outros que encontramos, todos funcionam da mesma maneira.

É irônico que a Lenovo tenha usado a palavra "aprimorar" para descrever o Superfish.

Quando você acessar um site que deveria ser seguro, verá o ícone de cadeado verde e tudo parecerá perfeitamente normal. Você pode até clicar no cadeado para ver os detalhes e parecerá que está tudo bem. Você está usando uma conexão segura e até mesmo o Google Chrome informará que você está conectado ao Google com uma conexão segura. Mas você não está!

O System Alerts LLC não é um certificado raiz real e você está, na verdade, usando um proxy Man-in-the-Middle que insere anúncios nas páginas (e quem sabe o que mais). Você deve apenas enviar e-mail todas as suas senhas, seria mais fácil.

Alerta do sistema: Seu sistema foi comprometido.

Assim que o adware estiver instalado e fazendo proxy de todo o seu tráfego, você começará a ver anúncios realmente desagradáveis ​​em todo o lugar. Esses anúncios são exibidos em sites seguros, como o Google, substituindo os anúncios reais do Google, ou aparecem como pop-ups em todos os lugares, tomando conta de todos os sites.

Eu gostaria do meu Google sem links de malware, obrigado.

A maior parte desse adware mostra links de “anúncios” para malware definitivo. Portanto, embora o adware em si possa ser um incômodo legal, ele possibilita algumas coisas realmente ruins.

Eles conseguem isso instalando seus certificados raiz falsos no armazenamento de certificados do Windows e, em seguida, fazendo proxy das conexões seguras enquanto as assinam com o certificado falso.

Se você olhar no painel de Certificados do Windows, pode ver todos os tipos de certificados completamente válidos ... mas se seu PC tiver algum tipo de adware instalado, você verá coisas falsas como System Alerts, LLC ou Superfish, Wajam ou dezenas de outras falsificações.

Isso é da empresa Umbrella?

Mesmo que você tenha sido infectado e removido o badware, os certificados ainda podem estar lá, tornando-o vulnerável a outros hackers que podem ter extraído as chaves privadas. Muitos dos instaladores de adware não removem os certificados quando você os desinstala.

Eles são todos ataques de intermediários e é assim que funcionam

Isto é de um ataque real ao vivo pelo incrível pesquisador de segurança Rob Graham

Se o seu PC tem certificados de raiz falsos instalados no armazenamento de certificados, agora você está vulnerável a ataques Man-in-the-Middle. O que isso significa é que se você se conecta a um hotspot público, ou alguém obtém acesso à sua rede ou consegue hackear algo upstream de você, eles podem substituir sites legítimos por sites falsos. Isso pode parecer rebuscado, mas os hackers têm sido capazes de usar sequestros de DNS em alguns dos maiores sites da web para sequestrar usuários para um site falso.

Depois que você for sequestrado, eles poderão ler tudo o que você enviar a um site privado - senhas, informações privadas, informações de saúde, e-mails, números de previdência social, informações bancárias, etc. E você nunca saberá porque seu navegador irá informá-lo que sua conexão é segura.

Isso funciona porque a criptografia de chave pública requer uma chave pública e uma chave privada. As chaves públicas são instaladas no armazenamento de certificados e a chave privada deve ser conhecida apenas pelo site que você está visitando. Mas quando os invasores podem sequestrar seu certificado raiz e manter as chaves pública e privada, eles podem fazer o que quiserem.

No caso do Superfish, eles usaram a mesma chave privada em todos os computadores com o Superfish instalado e, em poucas horas, os pesquisadores de segurança foram capazes de extrair as chaves privadas e criar sites para teste se você é vulnerável e provar que você pode ser sequestrado. Para Wajam e Geniusbox, as chaves são diferentes, mas o Content Explorer e alguns outros adware também usam as mesmas chaves em todos os lugares, o que significa que esse problema não é exclusivo do Superfish.

Fica pior: a maior parte dessa porcaria desativa totalmente a validação de HTTPS

Ainda ontem, os pesquisadores de segurança descobriram um problema ainda maior: todos esses proxies HTTPS desabilitam toda a validação ao mesmo tempo que fazem parecer que está tudo bem.

Isso significa que você pode ir para um site HTTPS que tem um certificado completamente inválido, e este adware irá lhe dizer que o site está bem. Testamos o adware que mencionamos anteriormente e todos eles estão desativando totalmente a validação de HTTPS, portanto, não importa se as chaves privadas são exclusivas ou não. Chocantemente ruim!

Todo esse adware quebra completamente a verificação de certificado.

Qualquer pessoa com adware instalado é vulnerável a todos os tipos de ataques e, em muitos casos, continua vulnerável mesmo quando o adware é removido.

Você pode verificar se você é vulnerável a Superfish, Komodia ou verificação de certificado inválido usando o site de teste criado por pesquisadores de segurança , mas como já demonstramos, há muito mais adware por aí fazendo a mesma coisa e, de acordo com nossa pesquisa, as coisas vão piorar.

Proteja-se: verifique o painel de certificados e exclua entradas incorretas

Se você está preocupado, deve verificar seu armazenamento de certificados para certificar-se de que não possui nenhum certificado incompleto instalado que possa ser ativado posteriormente pelo servidor proxy de alguém. Isso pode ser um pouco complicado, porque há um monte de coisas lá, e a maior parte delas deveria estar lá. Também não temos uma boa lista do que deveria e não deveria estar lá.

Use WIN + R para abrir a caixa de diálogo Executar e digite “mmc” para abrir uma janela do Console de gerenciamento Microsoft. Em seguida, use Arquivo -> Adicionar / Remover Snap-ins e selecione Certificados na lista à esquerda e, em seguida, adicione-os ao lado direito. Certifique-se de selecionar Conta do computador na próxima caixa de diálogo e clique nas demais.

Você vai querer ir para Autoridades de certificação de raiz confiável e procurar entradas realmente incompletas como qualquer uma dessas (ou qualquer coisa semelhante a essas)

  • Sendori
  • Purelead
  • Rocket Tab
  • Super Fish
  • Olhe isso
  • Pando
  • Azam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler é uma ferramenta de desenvolvedor legítima, mas o malware sequestrou seu certificado)
  • Alertas do sistema, LLC
  • CE_UmbrellaCert

Clique com o botão direito e exclua qualquer uma das entradas que encontrar. Se você viu algo incorreto ao testar o Google em seu navegador, certifique-se de excluí-lo também. Só tome cuidado, porque se você apagar as coisas erradas aqui, você vai quebrar o Windows.

Esperamos que a Microsoft libere algo para verificar seus certificados raiz e garantir que apenas os bons estejam lá. Teoricamente, você poderia usar esta lista da Microsoft dos certificados exigidos pelo Windows , e depois atualizar para os certificados raiz mais recentes , mas isso não foi completamente testado neste ponto, e realmente não o recomendamos até que alguém teste.

Em seguida, você precisará abrir seu navegador da web e encontrar os certificados que provavelmente estão armazenados em cache lá. Para o Google Chrome, vá para Configurações, Configurações avançadas e Gerenciar certificados. Em Pessoal, você pode clicar facilmente no botão Remover em qualquer certificado inválido ...

Mas quando você acessa Autoridades de certificação raiz confiáveis, terá que clicar em Avançado e desmarcar tudo o que vê para parar de conceder permissões a esse certificado ...

Mas isso é loucura.

RELACIONADOS: Pare de tentar limpar seu computador infectado! Basta Nuke it e reinstalar o Windows

Vá para a parte inferior da janela Configurações avançadas e clique em Redefinir configurações para redefinir completamente o Chrome para os padrões. Faça o mesmo para qualquer outro navegador que estiver usando, ou desinstale completamente, apagando todas as configurações e instale-o novamente.

Se seu computador foi afetado, você provavelmente está melhor fazendo uma instalação completamente limpa do Windows . Apenas certifique-se de fazer backup de seus documentos e fotos e tudo isso.

Então como você se protege?

É quase impossível se proteger completamente, mas aqui estão algumas diretrizes de bom senso para ajudá-lo:

  • Verifica a Superfish / Komodia / Certification validation test site .
  • Ative o Click-To-Play para plug-ins em seu navegador , que vai ajudam a protegê-lo de todos aqueles Flash de dia zero e outras falhas de segurança do plugin que existem.
  • Estar muito cuidado com o que você baixa e tente use o Ninite quando for absolutamente necessário .
  • Preste atenção no que você está clicando sempre que clicar.
  • Considere usar Enhanced Mitigation Experience Toolkit (EMET) da Microsoft ou Malwarebytes Anti-Exploit para proteger seu navegador e outros aplicativos críticos de falhas de segurança e ataques de dia zero.
  • Certifique-se de que todo o seu software, plug-ins e antivírus permaneçam atualizados e que inclui atualizações do Windows também .

Mas isso é uma enorme quantidade de trabalho apenas para querer navegar na web sem ser sequestrado. É como lidar com o TSA.

O ecossistema do Windows é uma cavalgada de crapware. E agora a segurança fundamental da Internet foi quebrada para os usuários do Windows. A Microsoft precisa consertar isso.

Privacidade e segurança - Artigos mais populares

Como configurar e gerenciar o Apple Pay em seu Mac

Privacidade e segurança Nov 5, 2024

CONTEÚDO NÃO CHEGADO O Apple Pay permite que você armazene suas informações de pagamento em uma carteira digital, que pode ser usada para pagar coisas como um cartão de déb..

O Nest Protect ainda funcionará sem uma conexão Wi-Fi?

Privacidade e segurança Aug 16, 2025

Se o Wi-Fi cair e seus dispositivos smarthome perderem a conectividade, é apenas um inconveniente. No entanto, e os dispositivos que são potenciais salva-vidas, como o Nes..

O que é um arquivo DMG (e como utilizo um)?

Privacidade e segurança Aug 13, 2025

Arquivos DMG são contêineres para aplicativos no macOS. Você os abre, arrasta o aplicativo para a pasta Aplicativos e, em seguida, ejeta-os, evitando o aborrecimento do temido �..

Como excluir arquivos baixados no Oculus Go

Privacidade e segurança May 4, 2025

CONTEÚDO NÃO CHEGADO Então você baixou algo realmente embaraçoso em seu fone de ouvido Oculus Go, como um filme de fã-clube Linux. Agora você precisa limpar ..

Apesar do sucesso do Firefox Quantum, o Mozilla perdeu o rumo

Privacidade e segurança Dec 27, 2024

CONTEÚDO NÃO CHEGADO O Mozilla deveria ser diferente. Marca a si mesma como uma organização sem fins lucrativos dedicada a tornar a web melhor, que se preocupa com a privacida..

Como remover comentários de outras pessoas de suas postagens no Facebook

Privacidade e segurança Jul 12, 2025

Outras pessoas são as piores. Você colocou uma linda foto sua no Facebook e eles apenas ter para dizer as coisas mais maldosas. A boa notícia é que você..

Como Instalar e Configurar Add-Ons no Kodi

Privacidade e segurança Jul 3, 2025

CONTEÚDO NÃO CHEGADO Kodi pode fazer muito fora da caixa. Se você tem uma coleção de Blu-Rays e CDs copiados, pode navegar por eles em seu sofá com uma bela interface. Se vo..

Como definir uma senha em seu arquivo de dados do Outlook

Privacidade e segurança Mar 3, 2025

CONTEÚDO NÃO CHEGADO Se você está preocupado em proteger seu e-mail no Outlook de olhares indiscretos, especialmente se você compartilha um computador com outras pessoas, pod..

Categorias