Download.com và những người khác Gói phần mềm quảng cáo phá vỡ HTTPS theo phong cách Superfish
Đó là một thời gian đáng sợ để trở thành người dùng Windows. Lenovo đã đóng gói phần mềm quảng cáo Superfish chiếm quyền điều khiển HTTPS, các tàu Comodo có lỗ hổng bảo mật thậm chí còn tồi tệ hơn gọi là PrivDog và hàng chục ứng dụng khác như LavaSoft cũng đang làm như vậy. Điều đó thực sự tồi tệ, nhưng nếu bạn muốn các phiên web được mã hóa của mình bị tấn công, hãy truy cập CNET Tải xuống hoặc bất kỳ trang web phần mềm miễn phí nào, bởi vì tất cả chúng hiện đang đóng gói phần mềm quảng cáo phá vỡ HTTPS.
Fiasco Superfish bắt đầu khi các nhà nghiên cứu nhận thấy Superfish, được đóng gói trên máy tính Lenovo, đang cài đặt chứng chỉ gốc giả vào Windows, về cơ bản chiếm quyền điều khiển tất cả trình duyệt HTTPS để chứng chỉ luôn có hiệu lực ngay cả khi chúng không hoạt động và chúng đã làm điều đó trong một cách không an toàn mà bất kỳ hacker kiddie script nào cũng có thể thực hiện được điều tương tự.
Và sau đó họ đang cài đặt proxy vào trình duyệt của bạn và buộc tất cả trình duyệt của bạn thông qua nó để họ có thể chèn quảng cáo. Điều đó đúng, ngay cả khi bạn kết nối với ngân hàng, hoặc trang web bảo hiểm y tế hoặc bất cứ nơi nào cần được bảo mật. Và bạn sẽ không bao giờ biết, vì họ đã phá vỡ mã hóa Windows để hiển thị cho bạn quảng cáo.
Nhưng thực tế đáng buồn là họ không phải là những người duy nhất làm điều này - các phần mềm quảng cáo như Wajam, Geniusbox, Content Explorer và các phần mềm khác đều đang làm điều tương tự, cài đặt chứng chỉ của riêng họ và buộc tất cả trình duyệt của bạn (bao gồm các phiên duyệt mã hóa HTTPS) phải đi qua máy chủ proxy của họ. Và bạn có thể bị nhiễm thứ vô nghĩa này chỉ bằng cách cài đặt hai trong số 10 ứng dụng hàng đầu trên Tải xuống CNET.
Điểm mấu chốt là bạn không còn có thể tin tưởng vào biểu tượng khóa màu xanh lá cây trong thanh địa chỉ của trình duyệt. Và đó là một điều đáng sợ, đáng sợ.
Phần mềm quảng cáo chiếm quyền điều khiển HTTPS hoạt động như thế nào và tại sao nó quá tệ
Ummm, tôi sẽ cần bạn đi trước và đóng tab đó. Mẹ ơi?Như chúng tôi đã trình bày trước đây, nếu bạn phạm sai lầm khổng lồ khi tin tưởng Tải xuống CNET, bạn có thể đã bị nhiễm loại phần mềm quảng cáo này. Hai trong số mười lượt tải xuống hàng đầu trên CNET (KMPlayer và YTD) đang gói hai loại phần mềm quảng cáo chiếm quyền điều khiển HTTPS khác nhau, và trong nghiên cứu của chúng tôi, chúng tôi thấy rằng hầu hết các trang web phần mềm miễn phí khác đang làm điều tương tự.
Chú thích: các trình cài đặt rất phức tạp và phức tạp đến nỗi chúng tôi không chắc ai là ai về mặt kỹ thuật thực hiện các gói, các nhưng CNET đang quảng bá các ứng dụng này trên trang chủ của họ, vì vậy đây thực sự là một vấn đề về ngữ nghĩa. Nếu bạn khuyên mọi người tải xuống một cái gì đó xấu, bạn cũng có lỗi. Chúng tôi cũng nhận thấy rằng nhiều công ty phần mềm quảng cáo này là những người bí mật sử dụng các tên công ty khác nhau.
Chỉ dựa trên số lượng tải xuống từ danh sách 10 danh sách hàng đầu trên CNET Tải xuống, hàng triệu người bị nhiễm mỗi tháng với phần mềm quảng cáo đang chiếm quyền điều khiển các phiên web được mã hóa của họ vào ngân hàng hoặc email hoặc bất cứ điều gì cần được bảo mật.
Nếu bạn mắc lỗi cài đặt KMPlayer và bạn có thể bỏ qua tất cả các crapware khác, bạn sẽ được trình bày với cửa sổ này. Và nếu bạn vô tình nhấp vào Chấp nhận (hoặc nhấn phím sai), hệ thống của bạn sẽ bị xóa.
Các trang web tải về nên xấu hổ về bản thân.Nếu cuối cùng bạn đã tải xuống một cái gì đó từ một nguồn thậm chí còn sơ sài hơn, như quảng cáo tải xuống trong công cụ tìm kiếm yêu thích của bạn, bạn sẽ thấy toàn bộ danh sách những thứ không tốt. Và bây giờ chúng tôi biết rằng nhiều người trong số họ sẽ phá vỡ hoàn toàn xác thực chứng chỉ HTTPS, khiến bạn hoàn toàn dễ bị tổn thương.
Đồng hành web Lavasoft cũng phá vỡ mã hóa HTTPS, nhưng trình đóng gói này cũng đã cài đặt phần mềm quảng cáo.Khi bạn bị nhiễm bất kỳ một trong những điều này, điều đầu tiên xảy ra là nó đặt proxy hệ thống của bạn chạy qua proxy cục bộ mà nó cài đặt trên máy tính của bạn. Đặc biệt chú ý đến mục Secure Secure bên dưới. Trong trường hợp này là từ Wajam Internet, Enhancer, nhưng đó có thể là Superfish hoặc Geniusbox hoặc bất kỳ ai khác mà chúng tôi đã tìm thấy, tất cả đều hoạt động theo cùng một cách.
Thật trớ trêu khi Lenovo sử dụng từ ngữ nâng cao tinh thần để mô tả Superfish.Khi bạn truy cập một trang web cần được bảo mật, bạn sẽ thấy biểu tượng khóa màu xanh lá cây và mọi thứ sẽ trông hoàn toàn bình thường. Bạn thậm chí có thể nhấp vào khóa để xem chi tiết, và nó sẽ xuất hiện rằng mọi thứ đều ổn. Bạn đang sử dụng kết nối an toàn và thậm chí Google Chrome sẽ báo cáo rằng bạn được kết nối với Google bằng kết nối an toàn. Nhưng bạn không!
System Alerts LLC không phải là chứng chỉ gốc thực sự và bạn thực sự đang trải qua một proxy Man-in-the-Middle đang chèn quảng cáo vào các trang (và ai biết những gì khác). Bạn chỉ nên gửi email cho họ tất cả mật khẩu của bạn, nó sẽ dễ dàng hơn.
Thông báo hệ thống: Hệ thống của bạn đã bị xâm nhập.Khi phần mềm quảng cáo được cài đặt và ủy quyền tất cả lưu lượng truy cập của bạn, bạn sẽ bắt đầu thấy quảng cáo thực sự đáng ghét ở khắp mọi nơi. Những quảng cáo này hiển thị trên các trang web an toàn, như Google, thay thế quảng cáo Google thực tế hoặc chúng hiển thị dưới dạng cửa sổ bật lên ở mọi nơi, chiếm lấy mọi trang web.
Tôi muốn Google của tôi không có liên kết phần mềm độc hại, cảm ơn.Hầu hết các phần mềm quảng cáo này cho thấy các liên kết quảng cáo trực tuyến trên các phần mềm độc hại. Vì vậy, trong khi bản thân phần mềm quảng cáo có thể gây phiền toái về mặt pháp lý, chúng cho phép một số thứ thực sự, thực sự xấu.
Họ thực hiện điều này bằng cách cài đặt chứng chỉ gốc giả của họ vào kho chứng chỉ Windows và sau đó ủy quyền các kết nối an toàn trong khi ký chúng với chứng chỉ giả của họ.
Nếu bạn nhìn vào bảng Chứng chỉ Windows, bạn có thể thấy tất cả các loại chứng chỉ hoàn toàn hợp lệ, nhưng nếu PC của bạn đã cài đặt một số loại phần mềm quảng cáo, bạn sẽ thấy những thứ giả mạo như System Alerts, LLC hoặc Superfish, Wajam hoặc hàng tá hàng giả khác.
Có phải đó là từ tập đoàn ô?Ngay cả khi bạn đã bị nhiễm và sau đó xóa phần mềm xấu, các chứng chỉ vẫn có thể ở đó, khiến bạn dễ bị tấn công bởi các tin tặc khác có thể đã trích xuất các khóa riêng tư. Nhiều trình cài đặt phần mềm quảng cáo không xóa chứng chỉ khi bạn gỡ cài đặt chúng.
Họ là tất cả các cuộc tấn công trung gian và đây là cách họ làm việc
Đây là từ một cuộc tấn công trực tiếp thực sự của nhà nghiên cứu bảo mật tuyệt vời Rob GrahamNếu PC của bạn có chứng chỉ gốc giả được cài đặt trong kho chứng chỉ, thì bây giờ bạn dễ bị tấn công Man-in-the-Middle. Điều này có nghĩa là nếu bạn kết nối với một điểm truy cập công cộng hoặc ai đó có quyền truy cập vào mạng của bạn hoặc quản lý để hack thứ gì đó ngược dòng từ bạn, họ có thể thay thế các trang web hợp pháp bằng các trang web giả mạo. Điều này nghe có vẻ xa vời, nhưng tin tặc đã có thể sử dụng các vụ tấn công DNS trên một số trang web lớn nhất trên web để đánh cắp người dùng đến một trang web giả mạo.
Khi bạn bị tấn công, họ có thể đọc mọi thứ bạn gửi đến một trang riêng - mật khẩu, thông tin cá nhân, thông tin sức khỏe, email, số an sinh xã hội, thông tin ngân hàng, v.v. Và bạn sẽ không bao giờ biết vì trình duyệt của bạn sẽ cho bạn biết kết nối của bạn an toàn.
Điều này hoạt động vì mã hóa khóa chung yêu cầu cả khóa chung và khóa riêng. Các khóa công khai được cài đặt trong kho chứng chỉ và khóa riêng chỉ được biết bởi trang web bạn đang truy cập. Nhưng khi kẻ tấn công có thể chiếm đoạt chứng chỉ gốc của bạn và giữ cả khóa chung và khóa riêng, chúng có thể làm bất cứ điều gì chúng muốn.
Trong trường hợp của Superfish, họ đã sử dụng cùng một khóa riêng trên mọi máy tính đã cài đặt Superfish, và trong vài giờ, các nhà nghiên cứu bảo mật đã có thể trích xuất các khóa riêng và tạo trang web để kiểm tra xem bạn có dễ bị tấn công hay không, và chứng minh rằng bạn có thể bị tấn công. Đối với Wajam và Geniusbox, các khóa khác nhau, nhưng Content Explorer và một số phần mềm quảng cáo khác cũng sử dụng cùng một khóa ở mọi nơi, điều đó có nghĩa là vấn đề này không phải là duy nhất đối với Superfish.
Nó trở nên tồi tệ hơn: Hầu hết các crap này vô hiệu hóa hoàn toàn xác thực HTTPS
Mới hôm qua, các nhà nghiên cứu bảo mật đã phát hiện ra một vấn đề thậm chí còn lớn hơn: Tất cả các proxy HTTPS này đều vô hiệu hóa tất cả xác nhận trong khi làm cho nó có vẻ như mọi thứ đều ổn.
Điều đó có nghĩa là bạn có thể truy cập trang web HTTPS có chứng chỉ hoàn toàn không hợp lệ và phần mềm quảng cáo này sẽ cho bạn biết rằng trang web này vẫn ổn. Chúng tôi đã kiểm tra phần mềm quảng cáo mà chúng tôi đã đề cập trước đó và tất cả chúng đều vô hiệu hóa hoàn toàn xác thực HTTPS, do đó, không có vấn đề gì nếu các khóa riêng là duy nhất hay không. Thật tệ!
Tất cả các phần mềm quảng cáo này hoàn toàn phá vỡ kiểm tra chứng chỉ.Bất kỳ ai có phần mềm quảng cáo được cài đặt đều dễ bị tấn công và trong nhiều trường hợp vẫn tiếp tục bị tổn thương ngay cả khi phần mềm quảng cáo bị xóa.
Bạn có thể kiểm tra xem bạn có dễ bị Superfish, Komodia hoặc kiểm tra chứng chỉ không hợp lệ bằng cách sử dụng trang thử nghiệm được tạo bởi các nhà nghiên cứu bảo mật hay không, nhưng như chúng tôi đã chứng minh, có rất nhiều phần mềm quảng cáo ngoài đó đang làm điều tương tự và từ nghiên cứu của chúng tôi , mọi thứ sẽ tiếp tục tồi tệ hơn.
Tự bảo vệ mình: Kiểm tra Bảng chứng chỉ và xóa các mục xấu
Nếu bạn lo lắng, bạn nên kiểm tra cửa hàng chứng chỉ của mình để đảm bảo rằng bạn không có bất kỳ chứng chỉ sơ sài nào được cài đặt mà sau đó có thể được kích hoạt bởi máy chủ proxy của ai đó. Điều này có thể hơi phức tạp, bởi vì có rất nhiều thứ trong đó, và hầu hết trong số đó được cho là ở đó. Chúng tôi cũng không có một danh sách tốt về những gì nên và không nên ở đó.
Sử dụng WIN + R để kéo lên hộp thoại Run, sau đó nhập vào mm mmcv để kéo cửa sổ Microsoft Management Console. Sau đó sử dụng Tệp -> Thêm / Xóa Snap-in và chọn Chứng chỉ từ danh sách bên trái, sau đó thêm nó vào bên phải. Đảm bảo chọn tài khoản Máy tính trên hộp thoại tiếp theo, sau đó nhấp qua phần còn lại.
Bạn sẽ muốn đến Cơ quan chứng nhận gốc đáng tin cậy và tìm kiếm các mục thực sự sơ sài như bất kỳ mục nào trong số này (hoặc bất cứ điều gì tương tự như vậy)
- Sendori
- Purelead
- Tên lửa Tab
- Siêu cá
- Trông
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler là một công cụ phát triển hợp pháp nhưng phần mềm độc hại đã chiếm đoạt chứng chỉ của họ)
- Cảnh báo hệ thống, LLC
- CE_UmhimaCert
Nhấp chuột phải và Xóa bất kỳ mục nào bạn tìm thấy. Nếu bạn thấy điều gì đó không chính xác khi bạn kiểm tra Google trong trình duyệt của mình, hãy đảm bảo xóa cả cái đó. Hãy cẩn thận, bởi vì nếu bạn xóa những thứ sai ở đây, bạn sẽ phá Windows.
Chúng tôi hy vọng rằng Microsoft sẽ phát hành một cái gì đó để kiểm tra chứng chỉ gốc của bạn và đảm bảo rằng chỉ có những cái tốt mới có ở đó. Về mặt lý thuyết bạn có thể sử dụng danh sách này từ Microsoft các chứng chỉ do Windows yêu cầu, sau đó cập nhật lên chứng chỉ gốc mới nhất, nhưng điều đó hoàn toàn chưa được kiểm chứng tại thời điểm này và chúng tôi thực sự không khuyến nghị điều đó cho đến khi ai đó kiểm tra điều này.
Tiếp theo, bạn sẽ cần mở trình duyệt web của mình và tìm các chứng chỉ có thể được lưu trong đó. Đối với Google Chrome, hãy đi tới Cài đặt, Cài đặt nâng cao và sau đó Quản lý chứng chỉ. Trong phần Cá nhân, bạn có thể dễ dàng nhấp vào nút Xóa trên bất kỳ chứng chỉ xấu nào
Nhưng khi bạn đến Cơ quan chứng nhận gốc đáng tin cậy, bạn sẽ phải nhấp vào Nâng cao và sau đó bỏ chọn mọi thứ bạn thấy để ngừng cấp quyền cho chứng chỉ đó
Nhưng đó là sự điên rồ.
Đi đến cuối cửa sổ Cài đặt nâng cao và nhấp vào Đặt lại cài đặt để đặt lại hoàn toàn Chrome về mặc định. Thực hiện tương tự cho bất kỳ trình duyệt nào khác mà bạn đang sử dụng hoặc gỡ cài đặt hoàn toàn, xóa tất cả các cài đặt và sau đó cài đặt lại.
Nếu máy tính của bạn đã bị ảnh hưởng, có lẽ bạn nên cài đặt Windows hoàn toàn sạch sẽ. Chỉ cần đảm bảo sao lưu tài liệu và hình ảnh của bạn và tất cả những thứ đó.
Vậy bạn tự bảo vệ mình như thế nào?
Gần như không thể tự bảo vệ mình hoàn toàn, nhưng dưới đây là một vài hướng dẫn thông thường để giúp bạn giải quyết:
- Kiểm tra trang web kiểm tra xác thực Superfish / Komodia / Chứng nhận.
- Bật Nhấp để phát cho các plugin trong trình duyệt của bạn, điều này sẽ giúp bảo vệ bạn khỏi tất cả các Flash không có ngày đó và các lỗ hổng bảo mật plugin khác có.
- Hãy thực sự cẩn thận với những gì bạn tải xuống và cố gắng sử dụng Ninite khi bạn hoàn toàn phải.
- Hãy chú ý đến những gì bạn đang nhấp bất cứ khi nào bạn nhấp.
- Cân nhắc sử dụng Bộ công cụ trải nghiệm giảm thiểu tăng cường (EMET) của Microsoft hoặc Malwarebytes Anti-Miningit để bảo vệ trình duyệt của bạn và các ứng dụng quan trọng khác khỏi các lỗ hổng bảo mật và các cuộc tấn công không có ngày.
- Đảm bảo tất cả phần mềm, plugin và phần mềm chống vi-rút của bạn luôn được cập nhật và bao gồm cả Cập nhật Windows.
Nhưng đó là rất nhiều công việc khủng khiếp vì chỉ muốn duyệt web mà không bị tấn công. Nó giống như đối phó với TSA.
Hệ sinh thái Windows là một nhóm các crapware. Và giờ đây, bảo mật cơ bản của Internet đã bị phá vỡ đối với người dùng Windows. Microsoft cần khắc phục điều này.