โฮมเพจ » ทำอย่างไร » Download.com และอื่น ๆ Bundle Superfish-Style HTTPS Breaking Adware

    Download.com และอื่น ๆ Bundle Superfish-Style HTTPS Breaking Adware

    เป็นเวลาที่น่ากลัวสำหรับผู้ใช้ Windows เลโนโวกำลังรวมแอดแวร์ HTfish- จี้หักเห Superfish โคโมโดมาพร้อมกับช่องโหว่ด้านความปลอดภัยที่เลวร้ายยิ่งกว่าเรียกว่า PrivDog และแอพอื่น ๆ อีกมากมายเช่น LavaSoft กำลังทำเช่นเดียวกัน มันแย่จริง ๆ แต่ถ้าคุณต้องการให้เซสชันการเข้ารหัสของคุณถูกแฮ็กแค่มุ่งหน้าไปที่ CNET Downloads หรือเว็บไซต์ฟรีแวร์ใด ๆ เพราะพวกมันรวมแอดแวร์ HTTPS เข้าด้วยกัน.

    ความล้มเหลวของ Superfish เริ่มขึ้นเมื่อนักวิจัยสังเกตว่า Superfish ที่รวมอยู่ในคอมพิวเตอร์ Lenovo ได้ติดตั้งใบรับรองหลักปลอมใน Windows ซึ่งเป็นหลักที่จี้ HTTPS ทั้งหมดที่เรียกดูเพื่อที่ว่าใบรับรองจะดูใช้ได้เสมอแม้ว่าจะไม่ได้ทำก็ตาม วิธีที่ไม่ปลอดภัยที่แฮกเกอร์ตัวเล็กสคริปต์สามารถทำได้ในสิ่งเดียวกัน.

    จากนั้นพวกเขากำลังติดตั้งพร็อกซีในเบราว์เซอร์ของคุณและบังคับให้คุณเรียกดูทั้งหมดเพื่อให้สามารถแทรกโฆษณาได้ ถูกต้องแม้ว่าคุณจะเชื่อมต่อกับธนาคารของคุณหรือเว็บไซต์ประกันสุขภาพหรือที่ใดก็ตามที่ควรมีความปลอดภัย และคุณจะไม่มีทางรู้ว่าพวกเขาทำลายการเข้ารหัสของ Windows เพื่อแสดงโฆษณาให้คุณเห็น.

    แต่ความจริงที่น่าเศร้าและน่าเศร้าก็คือพวกเขาไม่ใช่คนเดียวที่ทำสิ่งนี้ - แอดแวร์เช่น Wajam, Geniusbox, Content Explorer และอื่น ๆ ล้วนทำสิ่งเดียวกัน, ติดตั้งใบรับรองของตนเองและบังคับให้คุณเรียกดูทั้งหมด (รวมถึงเซสชันการเรียกดูที่เข้ารหัส HTTPS) เพื่อให้ผ่านพร็อกซีเซิร์ฟเวอร์ และคุณสามารถติดเชื้อนี้โดยไร้สาระเพียงแค่ติดตั้งสองแอพ 10 อันดับแรกใน CNET Downloads.

    บรรทัดล่างคือคุณไม่สามารถเชื่อถือไอคอนล็อคสีเขียวในแถบที่อยู่ของเบราว์เซอร์ของคุณได้อีกต่อไป และนั่นเป็นสิ่งที่น่ากลัวและน่ากลัว.

    HTTPS-Hijacking Adware ทำงานอย่างไรและทำไมจึงไม่ดี

    อืมฉันจะให้คุณเดินต่อไปแล้วปิดแท็บนั้น mmkay?

    ดังที่เราได้แสดงไว้ก่อนหน้านี้หากคุณทำผิดพลาดอย่างมหันต์อย่างมากในการเชื่อถือการดาวน์โหลด CNET คุณอาจติดแอดแวร์ประเภทนี้ได้แล้ว. สองในสิบการดาวน์โหลดติดอันดับ CNET (KMPlayer และ YTD) เป็นการรวมแอดแวร์ HTTPS-hijacking สองประเภท, และจากการวิจัยของเราเราพบว่าเว็บไซต์ฟรีแวร์อื่น ๆ ส่วนใหญ่กำลังทำสิ่งเดียวกัน.

    บันทึก: โปรแกรมติดตั้งนั้นซับซ้อนและซับซ้อนจนเราไม่แน่ใจว่าเป็นใคร ในทางเทคนิค กำลังทำ "การรวมกลุ่ม" แต่ CNET กำลังโปรโมตแอปเหล่านี้ในหน้าแรกของพวกเขาดังนั้นมันจึงเป็นเรื่องของความหมาย หากคุณแนะนำให้คนอื่นดาวน์โหลดสิ่งที่ไม่ดีคุณจะผิดอย่างเท่าเทียมกัน นอกจากนี้เรายังพบว่า บริษัท แอดแวร์เหล่านี้หลายคนเป็นคนเดียวกันอย่างลับ ๆ โดยใช้ชื่อ บริษัท ที่ต่างกัน.

    จากจำนวนการดาวน์โหลดจาก 10 อันดับแรกของรายการ CNET ดาวน์โหลดเพียงอย่างเดียวมีผู้ติดเชื้อจำนวนหนึ่งล้านคนทุกเดือนด้วยแอดแวร์ที่ไฮแจ็กเว็บเซสชันเข้ารหัสของพวกเขาไปยังธนาคารหรืออีเมลหรือสิ่งใดก็ตามที่ปลอดภัย.

    หากคุณทำผิดพลาดในการติดตั้ง KMPlayer และคุณจัดการเพื่อละเว้น crapware อื่น ๆ ทั้งหมดคุณจะเห็นหน้าต่างนี้ และถ้าคุณคลิกที่ยอมรับ (หรือกดปุ่มผิด) ระบบของคุณจะถูก pwned.

    เว็บไซต์ที่ดาวน์โหลดควรอับอายด้วยตนเอง.

    หากคุณดาวน์โหลดบางสิ่งจากแหล่งข้อมูลที่สมบูรณ์ยิ่งขึ้นเช่นโฆษณาดาวน์โหลดในเครื่องมือค้นหาที่คุณชื่นชอบคุณจะเห็นรายการทั้งหมดที่ไม่ดี และตอนนี้เรารู้ว่าพวกเขาหลายคนกำลังจะทำลายการตรวจสอบใบรับรอง HTTPS อย่างสมบูรณ์ทำให้คุณมีความเสี่ยงอย่างสมบูรณ์.

    Lavasoft Web Companion ยังแบ่งการเข้ารหัส HTTPS แต่บันเดิลนี้ติดตั้งแอดแวร์ด้วย.

    เมื่อคุณติดเชื้อกับสิ่งเหล่านี้สิ่งแรกที่เกิดขึ้นคือมันจะตั้งค่าพร็อกซีระบบของคุณให้ทำงานผ่านพร็อกซีท้องถิ่นที่ติดตั้งบนคอมพิวเตอร์ของคุณ ให้ความสนใจเป็นพิเศษกับรายการ“ ปลอดภัย” ด้านล่าง ในกรณีนี้มันมาจาก Wajam Internet“ Enhancer” แต่อาจเป็น Superfish หรือ Geniusbox หรืออื่น ๆ ที่เราพบพวกเขาทั้งหมดทำงานในลักษณะเดียวกัน.

    มันเป็นเรื่องที่น่าขันที่ Lenovo ใช้คำว่า "ปรับปรุง" เพื่ออธิบาย Superfish.

    เมื่อคุณไปที่ไซต์ที่ควรปลอดภัยคุณจะเห็นไอคอนล็อคสีเขียวและทุกสิ่งจะดูเป็นปกติอย่างสมบูรณ์ คุณสามารถคลิกที่ล็อคเพื่อดูรายละเอียดและมันจะปรากฏว่าทุกอย่างเรียบร้อย คุณกำลังใช้การเชื่อมต่อที่ปลอดภัยและแม้ Google Chrome จะรายงานว่าคุณเชื่อมต่อกับ Google ด้วยการเชื่อมต่อที่ปลอดภัย. แต่คุณไม่ได้!

    System Alerts LLC ไม่ใช่ใบรับรองรูทจริงและคุณกำลังผ่านพร็อกซี Man-in-the-Middle ที่แทรกโฆษณาลงในหน้าต่างๆ (และใครจะรู้ว่ามีอะไรอื่น) คุณควรส่งอีเมลรหัสผ่านทั้งหมดของคุณให้พวกเขามันจะง่ายขึ้น.

    การแจ้งเตือนระบบ: ระบบของคุณถูกบุกรุก.

    เมื่อติดตั้งแอดแวร์และพร็อกซี่ปริมาณการใช้งานทั้งหมดของคุณแล้วคุณจะเริ่มเห็นโฆษณาที่น่ารังเกียจทั่วสถานที่ โฆษณาเหล่านี้แสดงบนเว็บไซต์ที่ปลอดภัยเช่น Google แทนที่โฆษณา Google จริงหรือแสดงเป็นป๊อปอัปทั่วสถานที่เข้าครอบครองทุกเว็บไซต์.

    ฉันต้องการให้ Google ของฉันไม่มีลิงก์มัลแวร์ขอบคุณ.

    แอดแวร์ส่วนใหญ่นี้จะแสดงลิงก์ "โฆษณา" ไปยังมัลแวร์ทันที ดังนั้นในขณะที่แอดแวร์เองอาจก่อให้เกิดความรำคาญทางกฎหมาย แต่ก็เปิดใช้งานบางสิ่งที่เลวร้ายจริงๆ.

    พวกเขาทำสิ่งนี้ได้โดยการติดตั้งใบรับรองปลอมของพวกเขาลงในที่เก็บใบรับรอง Windows จากนั้นนำเสนอการเชื่อมต่อที่ปลอดภัยในขณะที่เซ็นชื่อด้วยใบรับรองปลอม.

    หากคุณดูในแผงใบรับรอง Windows คุณจะเห็นใบรับรองที่ถูกต้องทุกประเภท ... แต่ถ้าพีซีของคุณติดตั้งแอดแวร์บางประเภทคุณจะเห็นสิ่งปลอมแปลงเช่น System Alerts, LLC หรือ Superfish, Wajam หรือ ของปลอมอื่น ๆ หลายสิบรายการ.

    นั่นคือจาก บริษัท อัมเบรลล่า?

    แม้ว่าคุณจะติดไวรัสแล้วลบแบดแวร์ออกใบรับรองก็ยังอยู่ที่นั่นทำให้คุณเสี่ยงต่อแฮกเกอร์คนอื่น ๆ ที่อาจแยกคีย์ส่วนตัว โปรแกรมติดตั้งแอดแวร์จำนวนมากไม่ได้ลบใบรับรองเมื่อคุณถอนการติดตั้ง.

    การโจมตีแบบ Man-in-the-Middle ทั้งหมดและนี่คือวิธีการทำงาน

    นี่คือการโจมตีสดจริงโดยนักวิจัยด้านความปลอดภัยที่ยอดเยี่ยม Rob Graham

    หากพีซีของคุณมีใบรับรองรูทปลอมติดตั้งอยู่ในที่เก็บใบรับรองตอนนี้คุณมีความเสี่ยงที่จะถูกโจมตีจาก Man-in-the-Middle สิ่งนี้หมายความว่าถ้าคุณเชื่อมต่อกับฮอตสปอตสาธารณะหรือใครบางคนสามารถเข้าถึงเครือข่ายของคุณหรือจัดการเพื่อแฮกบางอย่างจากอัปสตรีมพวกเขาสามารถแทนที่ไซต์ที่ถูกต้องด้วยไซต์ปลอมได้ สิ่งนี้อาจฟังดูลึกซึ้ง แต่แฮกเกอร์สามารถใช้ DNS hijacks ในบางเว็บไซต์ที่ใหญ่ที่สุดบนเว็บเพื่อจี้ผู้ใช้ไปยังเว็บไซต์ปลอม.

    เมื่อคุณถูกแย่งชิงพวกเขาสามารถอ่านทุกสิ่งที่คุณส่งไปยังเว็บไซต์ส่วนตัว - รหัสผ่านข้อมูลส่วนตัวข้อมูลสุขภาพอีเมลหมายเลขประกันสังคมข้อมูลธนาคาร ฯลฯ และคุณจะไม่มีทางรู้เพราะเบราว์เซอร์ของคุณจะบอกคุณ ว่าการเชื่อมต่อของคุณปลอดภัย.

    สิ่งนี้ใช้ได้เนื่องจากการเข้ารหัสคีย์สาธารณะต้องใช้ทั้งคีย์สาธารณะและคีย์ส่วนตัว พับลิกคีย์ถูกติดตั้งในที่เก็บใบรับรองและไพรเวตคีย์ควรเป็นที่รู้จักโดยเว็บไซต์ที่คุณกำลังเยี่ยมชมเท่านั้น แต่เมื่อผู้โจมตีสามารถจี้ใบรับรองรากของคุณและถือทั้งกุญแจสาธารณะและกุญแจส่วนตัวพวกเขาสามารถทำสิ่งที่พวกเขาต้องการ.

    ในกรณีของ Superfish พวกเขาใช้คีย์ส่วนตัวเดียวกันกับคอมพิวเตอร์ทุกเครื่องที่ติดตั้ง Superfish และภายในไม่กี่ชั่วโมงนักวิจัยด้านความปลอดภัยก็สามารถแยกคีย์ส่วนตัวและสร้างเว็บไซต์เพื่อทดสอบว่าคุณมีความเสี่ยงหรือไม่และพิสูจน์ได้ว่าคุณทำได้ ถูกแย่งชิง สำหรับ Wajam และ Geniusbox คีย์จะแตกต่างกัน แต่ Content Explorer และแอดแวร์อื่น ๆ ก็ใช้คีย์เดียวกันทุกที่ซึ่งหมายความว่าปัญหานี้ไม่ได้เป็นเอกลักษณ์เฉพาะของ Superfish.

    ได้รับแย่ลง: Crap นี้ส่วนใหญ่ปิดใช้งานการตรวจสอบ HTTPS ทั้งหมด

    เมื่อวานนี้นักวิจัยด้านความปลอดภัยค้นพบปัญหาที่ยิ่งใหญ่กว่า: พร็อกซี HTTPS ทั้งหมดเหล่านี้ปิดใช้งานการตรวจสอบความถูกต้องทั้งหมดในขณะที่ทำให้ดูเหมือนว่าทุกอย่างเรียบร้อยดี.

    ซึ่งหมายความว่าคุณสามารถไปที่เว็บไซต์ HTTPS ที่มีใบรับรองที่ไม่ถูกต้องสมบูรณ์และแอดแวร์นี้จะบอกคุณว่าไซต์นั้นใช้ได้ เราทดสอบแอดแวร์ที่เรากล่าวถึงก่อนหน้านี้และพวกเขาทั้งหมดปิดการใช้งานการตรวจสอบ HTTPS ทั้งหมดดังนั้นจึงไม่สำคัญว่าคีย์ส่วนตัวจะไม่ซ้ำกันหรือไม่ ไม่ดีอย่างน่างงงวย!

    แอดแวร์ทั้งหมดนี้หยุดการตรวจสอบใบรับรองอย่างสมบูรณ์.

    ทุกคนที่ติดตั้งแอดแวร์จะเสี่ยงต่อการถูกโจมตีทุกประเภทและในหลาย ๆ กรณียังคงมีช่องโหว่แม้ว่าแอดแวร์จะถูกลบ.

    คุณสามารถตรวจสอบว่าคุณมีความเสี่ยงต่อ Superfish, Komodia หรือการตรวจสอบใบรับรองที่ไม่ถูกต้องโดยใช้เว็บไซต์ทดสอบที่สร้างขึ้นโดยนักวิจัยด้านความปลอดภัย แต่อย่างที่เราแสดงให้เห็นแล้วมีแอดแวร์มากมายที่ทำสิ่งเดียวกันและจากการวิจัยของเรา สิ่งต่าง ๆ จะแย่ลงเรื่อย ๆ.

    ป้องกันตนเอง: ตรวจสอบแผงใบรับรองและลบรายการที่ไม่เหมาะสม

    หากคุณกังวลคุณควรตรวจสอบที่เก็บใบรับรองเพื่อให้แน่ใจว่าคุณไม่ได้ติดตั้งใบรับรองแบบร่างที่สามารถเปิดใช้งานในภายหลังโดยพร็อกซีเซิร์ฟเวอร์ของใครบางคน สิ่งนี้อาจซับซ้อนเล็กน้อยเพราะมีสิ่งต่าง ๆ มากมายอยู่ในนั้นและส่วนใหญ่ควรจะอยู่ที่นั่น เรายังไม่มีรายการที่ดีเกี่ยวกับสิ่งที่ควรและไม่ควรอยู่ที่นั่น.

    ใช้ WIN + R เพื่อดึงกล่องโต้ตอบเรียกใช้แล้วพิมพ์“ mmc” เพื่อดึงหน้าต่าง Microsoft Management Console ขึ้น จากนั้นใช้ไฟล์ -> เพิ่ม / ลบ Snap-in และเลือกใบรับรองจากรายการทางด้านซ้ายแล้วเพิ่มไปทางด้านขวา ตรวจสอบให้แน่ใจว่าได้เลือกบัญชีคอมพิวเตอร์ในกล่องโต้ตอบถัดไปจากนั้นคลิกที่เหลือ.

    คุณจะต้องไปที่ผู้ออกใบรับรองหลักที่เชื่อถือได้และมองหารายการร่างอย่างแท้จริงเช่นใด ๆ เหล่านี้ (หรือสิ่งที่คล้ายกับสิ่งเหล่านี้)

    • Sendori
    • Purelead
    • Rocket Tab
    • Super Fish
    • Lookthisup
    • Pando
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler เป็นเครื่องมือสำหรับนักพัฒนาที่ถูกกฎหมาย แต่มัลแวร์ได้ทำการขโมยใบรับรอง)
    • การแจ้งเตือนระบบ, LLC
    • CE_UmbrellaCert

    คลิกขวาและลบรายการใด ๆ ที่คุณพบ หากคุณเห็นบางสิ่งที่ไม่ถูกต้องเมื่อคุณทดสอบ Google ในเบราว์เซอร์ของคุณตรวจสอบให้แน่ใจว่าได้ลบอันนั้นแล้ว เพียงระวังเพราะถ้าคุณลบสิ่งผิดที่นี่คุณจะทำลาย Windows.

    เราหวังว่า Microsoft จะเผยแพร่บางสิ่งเพื่อตรวจสอบใบรับรองหลักของคุณและตรวจสอบให้แน่ใจว่ามีเฉพาะใบรับรองที่ดีเท่านั้นที่มี ในทางทฤษฎีคุณสามารถใช้รายการนี้จาก Microsoft ของใบรับรองที่ Windows ต้องการและจากนั้นอัปเดตเป็นใบรับรองรูทล่าสุด แต่ยังไม่ได้ทดสอบอย่างสมบูรณ์ในตอนนี้และเราไม่แนะนำให้ใช้จนกว่าจะมีคนทำการทดสอบนี้.

    ถัดไปคุณจะต้องเปิดเว็บเบราว์เซอร์และค้นหาใบรับรองที่อาจมีแคช สำหรับ Google Chrome ให้ไปที่การตั้งค่าการตั้งค่าขั้นสูงแล้วจัดการใบรับรอง ในส่วนบุคคลคุณสามารถคลิกปุ่มลบบนใบรับรองที่ไม่ดีได้อย่างง่ายดาย ...

    แต่เมื่อคุณไปที่ผู้ออกใบรับรองหลักที่เชื่อถือได้คุณจะต้องคลิกขั้นสูงจากนั้นยกเลิกการเลือกทุกสิ่งที่คุณเห็นเพื่อหยุดให้การอนุญาตกับใบรับรองนั้น ...

    แต่นั่นเป็นความวิกลจริต.

    ไปที่ด้านล่างของหน้าต่างการตั้งค่าขั้นสูงและคลิกที่รีเซ็ตการตั้งค่าเพื่อรีเซ็ต Chrome เป็นค่าเริ่มต้น ทำเช่นเดียวกันกับเบราว์เซอร์อื่น ๆ ที่คุณใช้หรือถอนการติดตั้งอย่างสมบูรณ์เช็ดการตั้งค่าทั้งหมดแล้วติดตั้งอีกครั้ง.

    หากคอมพิวเตอร์ของคุณได้รับผลกระทบคุณน่าจะทำการติดตั้ง Windows ใหม่ทั้งหมด เพียงตรวจสอบให้แน่ใจว่าได้สำรองข้อมูลเอกสารและรูปภาพของคุณทุกอย่างแล้ว.

    ดังนั้นคุณจะป้องกันตัวเองได้อย่างไร?

    แทบจะเป็นไปไม่ได้เลยที่จะป้องกันตัวคุณเองอย่างสมบูรณ์ แต่นี่เป็นแนวทางปฏิบัติทั่วไปที่จะช่วยคุณ:

    • ตรวจสอบเว็บไซต์ทดสอบการตรวจสอบความถูกต้องของ Superfish / Komodia.
    • เปิดใช้งาน Click-To-Play สำหรับปลั๊กอินในเบราว์เซอร์ของคุณซึ่งจะช่วยปกป้องคุณจากแฟลช zero-day ทั้งหมดและช่องโหว่ความปลอดภัยของปลั๊กอินอื่น ๆ.
    • ระมัดระวังสิ่งที่คุณดาวน์โหลดและพยายามใช้ Ninite เมื่อคุณต้องการจริงๆ.
    • ใส่ใจกับสิ่งที่คุณคลิกทุกครั้งที่คุณคลิก.
    • พิจารณาการใช้ Enhanced Mitigation Experience Toolkit (EMET) หรือ Malwarebytes Anti-Exploit เพื่อปกป้องเบราว์เซอร์ของคุณและแอปพลิเคชันที่สำคัญอื่น ๆ จากช่องโหว่ความปลอดภัยและการโจมตีแบบ zero-day.
    • ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ปลั๊กอินและโปรแกรมป้องกันไวรัสของคุณได้รับการอัปเดตอยู่ตลอดเวลาและรวมถึง Windows Updates ด้วย.

    แต่นั่นเป็นงานที่น่ากลัวมากเพียงแค่ต้องการเรียกดูเว็บโดยไม่ถูกแย่งชิง มันเหมือนกับการจัดการกับ TSA.

    ระบบนิเวศของ Windows เป็นขบวนแห่ของ crapware และตอนนี้ความปลอดภัยขั้นพื้นฐานของอินเทอร์เน็ตก็ไม่สามารถใช้งานได้สำหรับผู้ใช้ Windows Microsoft ต้องแก้ไขปัญหานี้.

    ดาวน์โหลดเว็บไซต์ทั้งหมดใน Firefox โดยใช้ ScrapBook
    ดาวน์โหลดคู่มืออ้างอิงด่วน PowerShell ฟรีจาก Microsoft
    ดาวน์โหลดและติดตามสต็อกใน Excel 2007
    บทความต่อไป
    Download.com หยุด Crapware Bundling ในที่สุด
    บทความก่อนหน้า
    ดาวน์โหลดและรับชมวิดีโอ HD อินเทอร์เน็ตทีวีและพอดคาสต์ด้วย Miro 3.0