Download.com和其他捆绑超级鱼式HTTPS破解广告软件

这是一个可怕的时间成为一个Windows用户。 联想捆绑了HTTPS劫持Superfish广告软件Comodo带有一个更糟糕的安全漏洞名为PrivDog,以及数十个其他应用程序, 如LavaSoft正在做同样的。 这真的很糟糕,但如果你想要加密的Web会话被劫持,只是前往CNET下载或任何免费软件网站,因为他们都捆绑HTTPS破坏广告软件现在。

当研究人员注意到,联想计算机上捆绑的超级鱼,正在Windows上安装一个伪根证书,这本质上劫持所有的HTTPS浏览,所以证书总是看起来有效,即使他们不是,他们做了这样的不安全的方式任何脚本小家伙黑客可以完成同样的事情。

然后他们正在将代理安装到您的浏览器,并强制所有的浏览,以便他们可以插入广告。 这是对的,即使你连接到你的银行,健康保险网站,或任何地方,应该是安全的。 你永远不会知道,因为他们打破了Windows加密以显示广告。

但令人遗憾的是,悲伤的事实是,他们不是唯一的做这个 - 广告软件像Wajam,Geniusbox,内容资源管理器和其他人都在做同样的事情 ,安装自己的证书,并强制所有的浏览(包括HTTPS加密浏览会话)以通过其代理服务器。 你可以感染这个废话只是通过安装两个前10名应用程序在CNET下载。

底线是,您不能再相信浏览器地址栏中的绿色锁图标。 这是一个可怕的,可怕的事情。

HTTPS-Hijacking广告软件如何工作,为什么它是如此糟糕

嗯,我需要你去关闭那个标签。 Mmkay?

正如我们之前所展示的,如果你犯下了巨大的错误,信任CNET下载,你可能已经感染了这种类型的广告软件。 在CNET(KMPlayer和YTD)上的十大下载中有两个捆绑了两种不同类型的HTTPS劫持广告软件 ,在我们的研究中,我们发现大多数其他免费软件网站正在做同样的事情。

注意:安装程序是如此棘手和复杂,我们不知道谁在技术上做“捆绑”,但CNET在他们的主页上推广这些应用程序,所以这真的是一个语义的问题。 如果你建议人们下载的东西是坏的,你同样是错的。 我们还发现,许多这些广告软件公司都是使用不同公司名称的同一个人。

根据仅CNET下载的前10名列表的下载数量,每月有一百万人感染了广告软件,这些软件劫持他们的加密网络会话到他们的银行,电子邮件或任何应该安全的东西。

如果你犯了安装KMPlayer的错误,并且你设法忽略所有其他crapware,你会看到这个窗口。 如果你不小心点击接受(或按错了键),你的系统将被pwned。

下载网站应该感到羞愧自己。

如果你最终从一个更粗略的来源下载一些东西,比如你最喜欢的搜索引擎中的下载广告,你会看到一个不完整的列表。 现在我们知道,其中许多将完全打破HTTPS证书验证,让你完全脆弱。

Lavasoft Web Companion也打破了HTTPS加密,但是这个捆绑包也安装了广告软件。

一旦你感染了这些东西,发生的第一件事是,它设置你的系统代理运行通过它安装在您的计算机上的本地代理。 请特别注意下面的“安全”项目。 在这种情况下,它是从Wajam Internet“Enhancer”,但它可能是超级鱼或天才盒或任何其他我们发现,他们都以相同的方式工作。

联想用“增强”来描述超级鱼是讽刺的。

当你去一个应该安全的网站时,你会看到绿色的锁图标,一切都会完美地正常。 你甚至可以点击锁查看详细信息,它会显示一切都很好。 您使用的是安全连线,即使Google Chrome也会回报您已连线至Google,并且已连线至安全网路。 但你不是!

系统警报LLC不是一个真正的根证书,你实际上正在通过一个中间人代理,在页面中插入广告(谁知道什么)。 你应该只是电子邮件他们所有的密码,这将更容易。

系统警报:您的系统已被盗用。

安装广告软件并代理所有流量后,您会开始在整个地方看到真正令人讨厌的广告。 这些广告会显示在安全网站(例如Google)上,取代实际的Google广告,或是显示在整个网站的弹出式视窗中。

我想要我的谷歌没有恶意软件链接,谢谢。

大多数此广告软件显示“广告”链接到完全的恶意软件。 所以虽然广告软件本身可能是一个合法的滋扰,他们启用一些真的,真的坏东西。

他们通过将其假根证书安装到Windows证书存储,然后代理安全连接,同时使用其假证书签名,来完成此操作。

如果你查看Windows证书面板,你可以看到各种完全有效的证书...但是如果你的电脑安装了某种类型的广告软件,你会看到假冒的东西,如系统警报,有限责任公司,或者Superfish,Wajam,几十个其他假货。

是从伞公司吗?

即使您已被感染,然后删除了恶意软件,证书可能仍然存在,使您容易受到可能已提取私钥的其他黑客。 许多广告软件安装程序在卸载证书时不会删除它们。

他们是所有中间人攻击,这是他们的工作方式

这是来自真棒安全研究员Rob Graham的真实现场攻击

如果您的PC在证书库中安装了假根证书,则您现在容易受到中间人攻击。 这意味着,如果您连接到公共热点,或有人访问您的网络,或设法从您的上游攻击,他们可以用假网站替换合法网站。 这可能听起来很牵强,但黑客已经能够使用DNS劫持在一些最大的网站上劫持用户到一个假网站。

一旦你被劫持,他们可以阅读你提交到私人网站的每一件事 - 密码,私人信息,健康信息,电子邮件,社会安全号码,银行信息等。你永远不会知道,因为你的浏览器会告诉你您的连接是安全的。

这是因为公钥加密需要公钥和私钥。 公钥安装在证书存储区中,私钥只应由您访问的网站知道。 但是,当攻击者可以劫持您的根证书并保存公钥和私钥时,他们可以做任何他们想要的。

在Superfish的情况下,他们在安装了Superfish的每台计算机上使用相同的私钥,在几个小时内,安全研究人员能够提取私钥并创建网站来测试您是否容易受到攻击 ,并证明您可以被劫持。 对于Wajam和Geniusbox,键是不同的,但内容资源管理器和一些其他广告软件也使用相同的键无处不在,这意味着这个问题不是唯一的Superfish。

它得到更糟:大多数这个螃蟹完全禁用HTTPS验证

就在昨天,安全研究人员发现了一个更大的问题:所有这些HTTPS代理禁用所有验证,同时使它看起来像一切都很好。

这意味着你可以去一个HTTPS网站有一个完全无效的证书,这个广告软件会告诉你,该网站是好的。 我们测试了我们之前提到的广告软件,他们都完全禁用HTTPS验证,因此,如果私钥是唯一的,也没有关系。 令人震惊的坏!

所有这个广告软件完全打破了证书检查。

任何安装了广告软件的人都容易受到各种攻击,并且在许多情况下,即使广告软件被删除,它们仍然是脆弱的。

您可以检查您是否容易受到超级鱼,Komodia或使用由安全研究人员创建的测试网站的无效证书检查,但正如我们已经证明,有更多的广告软件在做同样的事情,从我们的研究,事情会继续恶化。

保护自己:检查证书面板和删除错误的条目

如果你担心,你应该检查你的证书存储,以确保你没有安装任何粗略的证书,以后可以由某人的代理服务器激活。 这可能有点复杂,因为有很多东西在那里,并且大部分是应该在那里。 我们也没有一个好的清单,应该和不应该在那里。

使用WIN + R提起运行对话框,然后键入“mmc”拉起Microsoft管理控制台窗口。 然后使用文件 - >添加/删除管理单元,并从左侧列表中选择证书,然后将其添加到右侧。 确保在下一个对话框中选择计算机帐户,然后单击其余对话框。

您将需要去受信任的根证书颁发机构,并寻找真正粗略的条目,如任何这些(或任何类似于这些)

  • Sendori
  • Purelead
  • 火箭Tab
  • 超级鱼
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root(Fiddler是一个合法的开发者工具,但恶意软件已劫持他们的证书)
  • 系统警报
  • CE_UmbrellaCert

右键单击并删除您找到的任何条目。 如果您在浏览器中测试Google时看到了不正确的内容,请务必删除该内容。 只要小心,因为如果你删除错误的东西在这里,你会打破Windows。

我们希望Microsoft发布一些东西来检查你的根证书,并确保只有好的。 理论上,你可以使用这个列表从微软Windows所需的证书 ,然后更新到最新的根证书 ,但这是完全未经测试的,我们真的不推荐,直到有人测试了这一点。

接下来,您需要打开Web浏览器并找到可能缓存在那里的证书。 对于Google Chrome,请依次转到设置,高级设置和管理证书。 在个人下,您可以轻松地点击任何不良证书上的删除按钮...

但是,当您访问受信任的根证书颁发机构时,您将必须单击高级,然后取消选中您看到的一切,停止授予该证书的权限...

但这是疯狂。

转到“高级设置”窗口底部,然后点击重置设置将Chrome完全重置为默认值。 对您使用的其他任何浏览器执行相同操作,或完全卸载,擦除所有设置,然后再次安装。

如果您的计算机受到影响,您可能最好做一个完全干净的Windows安装 只要确保备份您的文档和图片和所有。

那么你如何保护自己呢?

几乎不可能完全保护自己,但这里有一些常识性的指南,可以帮助你:

但这是一个非常多的工作,只是想要浏览网络,而不被劫持。 这就像处理TSA。

Windows生态系统是一个crapware的骑兵。 现在,对于Windows用户来说,互联网的基本安全性被打破了。 Microsoft需要解决这个问题。

赞 (0)
分享到:更多 ()