Download.com en anderen Bundel Superfish-stijl HTTPS-breaking adware
Het is een enge tijd om een Windows-gebruiker te zijn. Lenovo bundelde HTTPS-kaping Superfish adware, Comodo wordt geleverd met een nog erger beveiligingslek genaamd PrivDog, en tientallen andere apps zoals LavaSoft doen hetzelfde. Het is echt slecht, maar als je wilt dat je gecodeerde websessies worden gehackt, ga dan naar CNET Downloads of een willekeurige freeware-site, want ze bundelen allemaal HTTPS-brekende adware nu.
Het Superfish-fiasco begon toen onderzoekers merkten dat Superfish, gebundeld op Lenovo-computers, een nep-rootcertificaat in Windows installeerde dat in wezen alle HTTPS-browsergames kaping, zodat de certificaten er altijd geldig uitzien, ook als ze dat niet zijn, en ze deden het in een dergelijke situatie. onzekere manier dat elke scriptkiddie-hacker hetzelfde zou kunnen bereiken.
En dan installeren ze een proxy in je browser en dwingen ze er al je browsers doorheen zodat ze advertenties kunnen invoegen. Dat klopt, zelfs wanneer u verbinding maakt met uw bank, ziekteverzekeringssite of waar dan ook. En je zou het nooit weten, omdat ze de Windows-codering verbraken om je advertenties te laten zien.
Maar het droevige, droevige feit is dat zij niet de enige zijn die dit doen - adware zoals Wajam, Geniusbox, Content Explorer en anderen doen allemaal precies hetzelfde, het installeren van hun eigen certificaten en het forceren van al uw browsen (inclusief HTTPS versleutelde browsersessies) om door hun proxyserver te gaan. En je kunt besmet raken met deze onzin door twee van de top 10-apps op CNET Downloads te installeren.
Waar het op neerkomt, is dat u het groene vergrendelingspictogram in de adresbalk van uw browser niet meer kunt vertrouwen. En dat is eng, eng.
Hoe HTTPS-Hijacking Adware werkt en waarom het zo slecht is
Ummm, ik wil dat je doorgaat en dat tabblad sluit. mmkay?Zoals we eerder hebben laten zien, als je de enorme gigantische fout maakt om CNET Downloads te vertrouwen, zou je al besmet kunnen zijn met dit soort adware. Twee van de top tien downloads op CNET (KMPlayer en YTD) bundelen twee verschillende soorten adware voor adware-kaping, en in ons onderzoek ontdekten we dat de meeste andere freeware-sites hetzelfde doen.
Notitie: de installateurs zijn zo lastig en ingewikkeld dat we niet zeker weten wie het is technisch gezien de "bundeling" doen, maar CNET promoot deze apps op hun startpagina, dus het is echt een kwestie van semantiek. Als je mensen aanbeveelt om iets te downloaden dat slecht is, heb je dezelfde schuld. We hebben ook vastgesteld dat veel van deze adware-bedrijven in het geheim dezelfde mensen zijn die verschillende bedrijfsnamen gebruiken.
Op basis van de downloadnummers van de top 10 op CNET Downloads alleen al zijn er elke maand een miljoen mensen besmet met adware die hun gecodeerde websessies naar hun bank of e-mail kaapt, of alles dat veilig moet zijn.
Als je de fout hebt gemaakt om KMPlayer te installeren en je erin slaagt alle andere crapware te negeren, krijg je dit venster te zien. En als u per ongeluk op Accepteren klikt (of op de verkeerde toets drukt), wordt uw systeem weergegeven.
Downloadsites moeten zich schamen.Als je iets hebt gedownload van een nog schaarsere bron, zoals de download-advertenties in je favoriete zoekmachine, zie je een hele lijst met dingen die niet goed zijn. En nu weten we dat velen van hen de certificering van HTTPS-certificaten volledig zullen doorbreken, waardoor u volledig kwetsbaar blijft.
Lavasoft Web Companion breekt ook de HTTPS-codering, maar deze bundler heeft ook adware geïnstalleerd.Zodra je jezelf geïnfecteerd raakt met een van deze dingen, is het eerste dat gebeurt dat je systeemproxy een lokale proxy gebruikt die het op je computer installeert. Besteed speciale aandacht aan het item "Beveiligd" hieronder. In dit geval was het van Wajam Internet "Enhancer", maar het kan Superfish of Geniusbox zijn of een van de andere die we hebben gevonden, ze werken allemaal op dezelfde manier.
Het is ironisch dat Lenovo het woord "verbeteren" gebruikte om Superfish te beschrijven.Wanneer u naar een site gaat die veilig moet zijn, ziet u het groene hangslotsymbool en ziet alles er normaal uit. U kunt zelfs op het slot klikken om de details te bekijken en het lijkt erop dat alles in orde is. U gebruikt een beveiligde verbinding en zelfs Google Chrome rapporteert dat u bent verbonden met Google via een beveiligde verbinding. Maar dat ben je niet!
System Alerts LLC is geen echt rootcertificaat en u doorloopt eigenlijk een Man-in-the-Middle proxy die advertenties in pagina's invoegt (en wie weet wat nog meer). Je zou ze gewoon al je wachtwoorden moeten e-mailen, het zou gemakkelijker zijn.
Systeemwaarschuwing: uw systeem is gecompromitteerd.Zodra de adware is geïnstalleerd en al uw verkeer wordt geprojecteerd, ziet u overal irritante advertenties. Deze advertenties worden weergegeven op beveiligde sites, zoals Google, die de daadwerkelijke Google-advertenties vervangen, of ze worden overal weergegeven als pop-ups en nemen elke site over..
Ik wil mijn Google graag zonder malware-links, bedankt.De meeste van deze adware toont "advertentie" -links naar regelrechte malware. Dus hoewel de adware zelf een legale overlast kan zijn, zorgen ze ervoor dat sommige, echt slechte dingen mogelijk worden.
Ze doen dit door hun nep-basiscertificaten in het Windows-certificaatarchief te installeren en vervolgens de beveiligde verbindingen te proxiëren terwijl ze worden ondertekend met hun valse certificaat.
Als u in het paneel Windows Certificaten kijkt, kunt u allerlei volledig geldige certificaten zien ... maar als uw pc een soort adware heeft geïnstalleerd, ziet u nep-zaken zoals System Alerts, LLC of Superfish, Wajam of tientallen andere vervalsingen.
Is dat van Umbrella corporation?Zelfs als je bent geïnfecteerd en vervolgens de badware hebt verwijderd, zijn de certificaten mogelijk nog steeds aanwezig, waardoor je kwetsbaar bent voor andere hackers die de privésleutels hebben uitgepakt. Veel van de adware-installatieprogramma's verwijderen de certificaten niet wanneer u ze verwijdert.
Het zijn allemaal 'Man-in-the-Middle'-aanvallen en hier zijn de manieren waarop ze werken
Dit is van een echte live-aanval door de geweldige veiligheidsonderzoeker Rob GrahamAls uw pc nep root-certificaten heeft geïnstalleerd in het certificaatarchief, bent u nu kwetsbaar voor aanvallen van de mens naar het midden. Dit betekent dat als je verbinding maakt met een openbare hotspot, of iemand toegang krijgt tot je netwerk, of als je iets stroomopwaarts van je hackt, ze legitieme sites kunnen vervangen door valse sites. Dit klinkt misschien vergezocht, maar hackers hebben DNS-kapingen op enkele van de grootste sites op het web kunnen gebruiken om gebruikers naar een nepsite te gijzelen..
Als je eenmaal gekaapt bent, kunnen ze elk ding lezen dat je indient op een privésite - wachtwoorden, privéinformatie, gezondheidsinformatie, e-mails, burgerservicenummers, bankgegevens, enz. En je zult het nooit weten omdat je browser het je zal vertellen dat uw verbinding veilig is.
Dit werkt omdat codering met een openbare sleutel zowel een openbare sleutel als een privésleutel vereist. De openbare sleutels worden geïnstalleerd in het certificaatarchief en de privésleutel moet alleen bekend zijn bij de website die u bezoekt. Maar als aanvallers je rootcertificaat kunnen kapen en zowel de publieke als de private sleutel kunnen bevatten, kunnen ze alles doen wat ze willen.
In het geval van Superfish hebben ze dezelfde privésleutel gebruikt op elke computer waarop Superfish is geïnstalleerd, en binnen een paar uur konden beveiligingsonderzoekers de privésleutels uitpakken en websites maken om te testen of je kwetsbaar bent en bewijzen dat je kon gekaapt worden. Voor Wajam en Geniusbox zijn de toetsen anders, maar Inhoudverkenner en een andere adware gebruiken ook overal dezelfde toetsen, wat betekent dat dit probleem niet uniek is voor Superfish.
Het wordt erger: de meeste van deze Crap schakelt HTTPS-validatie volledig uit
Gisteren ontdekten beveiligingsonderzoekers een nog groter probleem: al deze HTTPS-proxy's schakelen alle validatie uit terwijl het lijkt alsof alles in orde is.
Dat betekent dat u naar een HTTPS-website met een volledig ongeldig certificaat kunt gaan en deze adware zal u vertellen dat de site prima is. We hebben de adware getest die we eerder noemden en ze schakelen HTTPS-validatie helemaal uit, dus het maakt niet uit of de privésleutels uniek zijn of niet. Schokkend slecht!
Al deze adware breekt het controleren van certificaten volledig.Iedereen met adware is kwetsbaar voor allerlei soorten aanvallen en blijft in veel gevallen kwetsbaar, zelfs als de adware is verwijderd.
Je kunt controleren of je kwetsbaar bent voor Superfish, Komodia of ongeldige certificaatcontrole met behulp van de testsite gemaakt door beveiligingsonderzoekers, maar zoals we al hebben aangetoond, is er nog veel meer adware die hetzelfde doet en van ons onderzoek , dingen zullen blijven slechter worden.
Bescherm uzelf: controleer het Certificatenpaneel en verwijder slechte inzendingen
Als u zich zorgen maakt, moet u uw certificaatarchief controleren om ervoor te zorgen dat er geen schetsmatige certificaten zijn geïnstalleerd die later kunnen worden geactiveerd door iemands proxyserver. Dit kan een beetje ingewikkeld zijn, omdat er veel dingen in zitten, en het meeste ervan hoort er te zijn. We hebben ook geen goede lijst van wat er wel en niet zou moeten zijn.
Gebruik WIN + R om het dialoogvenster Uitvoeren te openen en typ 'mmc' om een Microsoft Management Console-venster te openen. Gebruik vervolgens Bestand -> Snap-ins toevoegen / verwijderen en selecteer Certificaten in de lijst aan de linkerkant en voeg het vervolgens toe aan de rechterkant. Zorg dat u Computeraccount selecteert in het volgende dialoogvenster en klik vervolgens op de rest.
U wilt naar Vertrouwde basiscertificeringsinstanties gaan en op zoek gaan naar echt schetsmatige vermeldingen zoals deze (of iets dergelijks)
- Sendori
- Purelead
- Rocket Tab
- Super vis
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler is een legitieme ontwikkelaarstool maar malware heeft hun cert gekaapt)
- System Alerts, LLC
- CE_UmbrellaCert
Klik met de rechtermuisknop en verwijder een van de items die u vindt. Als u iets niet juist zag toen u Google in uw browser testte, zorg er dan voor dat u die ook verwijdert. Wees voorzichtig, want als je hier de verkeerde dingen verwijdert, ga je Windows kapotmaken.
We hopen dat Microsoft iets publiceert om uw rootcertificaten te controleren en ervoor te zorgen dat alleen goede certificaten aanwezig zijn. Theoretisch zou je deze lijst van Microsoft kunnen gebruiken voor de certificaten die vereist zijn door Windows, en dan updaten naar de nieuwste root-certificaten, maar dat is op dit moment nog niet volledig getest, en we raden het echt niet aan totdat iemand dit uittest.
Vervolgens moet je je webbrowser openen en de certificaten vinden die waarschijnlijk in de cache zijn opgeslagen. Ga voor Google Chrome naar Instellingen, Geavanceerde instellingen en vervolgens Certificaten beheren. Onder Persoonlijk kunt u eenvoudig op de knop Verwijderen klikken op eventuele slechte certificaten ...
Maar wanneer u naar Vertrouwde basiscertificeringsinstanties gaat, moet u op Geavanceerd klikken en vervolgens de selectie van alles wat u ziet, uitschakelen om machtigingen voor dat certificaat te verlenen ...
Maar dat is waanzin.
Ga naar de onderkant van het venster Geavanceerde instellingen en klik op Instellingen opnieuw instellen om Chrome volledig in te stellen op de standaardinstellingen. Doe hetzelfde voor elke andere browser die u gebruikt of verwijder alles volledig, veeg alle instellingen weg en installeer het vervolgens opnieuw.
Als uw computer is getroffen, is het waarschijnlijk beter om een volledig schone installatie van Windows uit te voeren. Zorg er wel voor dat u een back-up maakt van uw documenten en afbeeldingen en dat alles.
Dus hoe bescherm je jezelf?
Het is bijna onmogelijk om jezelf volledig te beschermen, maar hier volgen een paar gezond verstandige richtlijnen om je te helpen:
- Controleer de Superfish / Komodia / certificering validatie testsite.
- Schakel Click-to-Play in voor plug-ins in uw browser, die u zullen helpen beschermen tegen al die zero-day Flash- en andere beveiligingslekken voor plug-ins die er zijn.
- Wees heel voorzichtig met wat je download en probeer Ninite te gebruiken wanneer je absoluut moet.
- Let op wat u klikt wanneer u klikt.
- Overweeg de Enhanced Mitigation Experience Toolkit (EMET) van Microsoft of Malwarebytes Anti-Exploit te gebruiken om uw browser en andere kritieke applicaties te beschermen tegen gaten in de beveiliging en zero-day aanvallen.
- Zorg ervoor dat al uw software, plug-ins en antivirus bijgewerkt blijven en dat dit ook Windows Updates omvat.
Maar dat is ontzettend veel werk voor het gewoon willen surfen op het web zonder te worden gekaapt. Het is als het omgaan met de TSA.
Het Windows-ecosysteem is een verzameling van crapware. En nu is de fundamentele veiligheid van internet voor Windows-gebruikers verbroken. Microsoft moet dit oplossen.