Connect with us

Wie man

Download.com und andere bündeln HTTPS Breaking Adware im Superfish-Stil

Download.com und andere bündeln HTTPS Breaking Adware im Superfish-Stil

Es ist eine beängstigende Zeit, ein Windows-Benutzer zu sein. Lenovo hat HTTPS-Hijacking-Superfish-Adware gebündelt, Comodo wird mit einer noch schlimmeren Sicherheitslücke namens PrivDog ausgeliefert. und Dutzende anderer Apps wie LavaSoft machen das gleiche. Es ist wirklich schlimm, aber wenn Sie möchten, dass Ihre verschlüsselten Websitzungen entführt werden, gehen Sie einfach zu CNET Downloads oder einer Freeware-Site, da alle jetzt HTTPS-brechende Adware bündeln.

Das Superfish-Fiasko begann, als Forscher bemerkten, dass Superfish, das auf Lenovo-Computern gebündelt war, ein gefälschtes Stammzertifikat in Windows installierte, das im Wesentlichen das gesamte HTTPS-Browsing missbraucht, sodass die Zertifikate immer gültig aussehen, auch wenn dies nicht der Fall ist, und dies in einem solchen Fall Unsichere Art und Weise, wie jeder Script-Kiddie-Hacker dasselbe erreichen kann.

Und dann installieren sie einen Proxy in Ihrem Browser und erzwingen das gesamte Durchsuchen, damit sie Anzeigen einfügen können. Das ist richtig, selbst wenn Sie eine Verbindung zu Ihrer Bank, Ihrer Krankenversicherung oder einem Ort herstellen, der sicher sein sollte. Und Sie würden es nie erfahren, weil sie die Windows-Verschlüsselung gebrochen haben, um Ihnen Anzeigen zu zeigen.

Aber die traurige, traurige Tatsache ist, dass sie nicht die einzigen sind, die dies tun – Adware wie Wajam, Geniusbox, Content Explorer und andere machen genau das GleicheInstallieren Sie ihre eigenen Zertifikate und zwingen Sie Ihr gesamtes Surfen (einschließlich HTTPS-verschlüsselter Browsersitzungen), ihren Proxyserver zu durchlaufen. Und Sie können sich mit diesem Unsinn infizieren, indem Sie einfach zwei der Top-10-Apps auf CNET-Downloads installieren.

Unter dem Strich können Sie diesem grünen Schlosssymbol in der Adressleiste Ihres Browsers nicht mehr vertrauen. Und das ist eine beängstigende, beängstigende Sache.

Wie HTTPS-Hijacking Adware funktioniert und warum es so schlimm ist

Ähm, ich brauche dich, um diesen Tab zu schließen. Mmkay?

Wie wir bereits gezeigt haben, könnten Sie bereits mit dieser Art von Adware infiziert sein, wenn Sie den riesigen Fehler machen, CNET-Downloads zu vertrauen. Zwei der zehn besten Downloads auf CNET (KMPlayer und YTD) bündeln zwei verschiedene Arten von HTTPS-Hijacking-Adwareund in unserer Forschung haben wir festgestellt, dass die meisten anderen Freeware-Sites dasselbe tun.

Die Installer sind so knifflig und kompliziert, dass wir nicht sicher sind, wer das „Bündeln“ durchführt, aber CNET bewirbt diese Apps auf ihrer Homepage, also ist es wirklich eine Frage der Semantik. Wenn Sie empfehlen, dass Leute etwas herunterladen, das schlecht ist, sind Sie gleichermaßen schuld. Wir haben auch festgestellt, dass viele dieser Adware-Unternehmen insgeheim dieselben Personen sind, die unterschiedliche Firmennamen verwenden.

Basierend auf den Download-Nummern aus der Top-10-Liste der CNET-Downloads allein werden jeden Monat eine Million Menschen mit Adware infiziert, die ihre verschlüsselten Websitzungen an ihre Bank, E-Mail oder alles, was sicher sein sollte, entführt.

Wenn Sie den Fehler gemacht haben, KMPlayer zu installieren, und es Ihnen gelingt, alle anderen Crapware-Programme zu ignorieren, wird dieses Fenster angezeigt. Und wenn Sie versehentlich auf Akzeptieren klicken (oder die falsche Taste drücken), wird Ihr System pwned.

Download-Sites sollten sich schämen.

Wenn Sie am Ende etwas von einer noch skizzenhafteren Quelle heruntergeladen haben, wie z. B. die Download-Anzeigen in Ihrer bevorzugten Suchmaschine, sehen Sie eine ganze Liste von Dingen, die nicht gut sind. Und jetzt wissen wir, dass viele von ihnen die Validierung von HTTPS-Zertifikaten vollständig unterbrechen werden, sodass Sie völlig verwundbar sind.

Lavasoft Web Companion unterbricht auch die HTTPS-Verschlüsselung, aber dieser Bundler hat auch Adware installiert.

Sobald Sie sich mit einem dieser Dinge infiziert haben, wird als Erstes festgelegt, dass Ihr Systemproxy über einen lokalen Proxy ausgeführt wird, den er auf Ihrem Computer installiert. Achten Sie besonders auf den unten stehenden Punkt „Sicher“. In diesem Fall war es von Wajam Internet „Enhancer“, aber es könnte Superfish oder Geniusbox oder eines der anderen sein, die wir gefunden haben, sie funktionieren alle auf die gleiche Weise.

Es ist ironisch, dass Lenovo das Wort „verbessern“ verwendet hat, um Superfish zu beschreiben.

Wenn Sie zu einer Site gehen, die sicher sein sollte, sehen Sie das grüne Schlosssymbol und alles sieht ganz normal aus. Sie können sogar auf das Schloss klicken, um die Details anzuzeigen, und es scheint, dass alles in Ordnung ist. Sie verwenden eine sichere Verbindung, und sogar Google Chrome meldet, dass Sie über eine sichere Verbindung mit Google verbunden sind. Aber du bist nicht!

System Alerts LLC ist kein echtes Stammzertifikat, und Sie durchlaufen tatsächlich einen Man-in-the-Middle-Proxy, der Anzeigen in Seiten einfügt (und wer weiß was noch). Sie sollten ihnen einfach alle Ihre Passwörter per E-Mail senden, es wäre einfacher.

Systemwarnung: Ihr System wurde kompromittiert.

Sobald die Adware installiert ist und Ihr gesamter Datenverkehr übertragen wird, werden Sie überall wirklich unangenehme Anzeigen sehen. Diese Anzeigen werden auf sicheren Websites wie Google geschaltet und ersetzen die eigentlichen Google-Anzeigen. Sie werden überall als Popups angezeigt und übernehmen jede Website.

Ich möchte mein Google ohne Malware-Links, danke.

Die meisten dieser Adware-Anzeigen enthalten „Anzeigen“ -Links zu direkter Malware. Während die Adware selbst ein rechtliches Ärgernis sein könnte, ermöglichen sie einige wirklich, wirklich schlechte Dinge.

Sie erreichen dies, indem sie ihre gefälschten Stammzertifikate im Windows-Zertifikatspeicher installieren und dann die sicheren Verbindungen übertragen, während sie sie mit ihrem gefälschten Zertifikat signieren.

Wenn Sie im Fenster „Windows-Zertifikate“ nachsehen, werden alle Arten von vollständig gültigen Zertifikaten angezeigt. Wenn auf Ihrem PC jedoch Adware installiert ist, werden gefälschte Dinge wie System Alerts, LLC oder Superfish, Wajam oder angezeigt Dutzende anderer Fälschungen.

Ist das von Umbrella Corporation?

Selbst wenn Sie infiziert wurden und dann die Badware entfernt haben, sind die Zertifikate möglicherweise noch vorhanden, sodass Sie für andere Hacker anfällig sind, die möglicherweise die privaten Schlüssel extrahiert haben. Viele der Adware-Installationsprogramme entfernen die Zertifikate nicht, wenn Sie sie deinstallieren.

Sie sind alle Man-in-the-Middle-Angriffe und so funktionieren sie

Dies ist ein echter Live-Angriff des großartigen Sicherheitsforschers Rob Graham

Wenn auf Ihrem PC gefälschte Stammzertifikate im Zertifikatspeicher installiert sind, sind Sie jetzt anfällig für Man-in-the-Middle-Angriffe. Dies bedeutet, dass wenn Sie eine Verbindung zu einem öffentlichen Hotspot herstellen oder jemand Zugriff auf Ihr Netzwerk erhält oder es schafft, etwas vor Ihnen zu hacken, er legitime Websites durch gefälschte Websites ersetzen kann. Dies mag weit hergeholt klingen, aber Hacker konnten DNS-Hijacks auf einigen der größten Websites im Web verwenden, um Benutzer auf eine gefälschte Website zu entführen.

Sobald Sie entführt wurden, können sie alles lesen, was Sie an eine private Website senden – Passwörter, private Informationen, Gesundheitsinformationen, E-Mails, Sozialversicherungsnummern, Bankinformationen usw. Und Sie werden es nie erfahren, weil Ihr Browser es Ihnen sagt dass Ihre Verbindung sicher ist.

Dies funktioniert, da für die Verschlüsselung mit öffentlichem Schlüssel sowohl ein öffentlicher als auch ein privater Schlüssel erforderlich sind. Die öffentlichen Schlüssel werden im Zertifikatspeicher installiert, und der private Schlüssel sollte nur der Website bekannt sein, die Sie besuchen. Wenn Angreifer jedoch Ihr Stammzertifikat entführen und sowohl den öffentlichen als auch den privaten Schlüssel besitzen können, können sie alles tun, was sie wollen.

Im Fall von Superfish verwendeten sie denselben privaten Schlüssel auf jedem Computer, auf dem Superfish installiert ist, und innerhalb weniger Stunden Sicherheitsforscher konnten die privaten Schlüssel extrahieren und erstellen Websites zu Testen Sie, ob Sie anfällig sindund beweisen, dass Sie entführt werden könnten. Bei Wajam und Geniusbox sind die Schlüssel unterschiedlich, aber der Content Explorer und einige andere Adware-Programme verwenden überall dieselben Schlüssel, was bedeutet, dass dieses Problem nicht nur bei Superfish auftritt.

Es wird schlimmer: Der größte Teil dieses Mistes deaktiviert die HTTPS-Validierung vollständig

Erst gestern haben Sicherheitsforscher ein noch größeres Problem entdeckt: Alle diese HTTPS-Proxys deaktivieren die gesamte Validierung und lassen es so aussehen, als wäre alles in Ordnung.

Das bedeutet, dass Sie eine HTTPS-Website mit einem vollständig ungültigen Zertifikat aufrufen können. Diese Adware zeigt Ihnen, dass die Website in Ordnung ist. Wir haben die zuvor erwähnte Adware getestet und alle deaktivieren die HTTPS-Validierung vollständig. Es spielt also keine Rolle, ob die privaten Schlüssel eindeutig sind oder nicht. Schockierend schlecht!

All diese Adware bricht die Zertifikatsprüfung vollständig ab.

Jeder, auf dem Adware installiert ist, ist für alle Arten von Angriffen anfällig und in vielen Fällen auch dann noch anfällig, wenn die Adware entfernt wird.

Mit können Sie überprüfen, ob Sie für Superfish, Komodia oder ungültige Zertifikatsprüfungen anfällig sind die von Sicherheitsforschern erstellte TeststelleAber wie wir bereits gezeigt haben, gibt es viel mehr Adware, die das Gleiche tut, und nach unseren Recherchen werden sich die Dinge weiter verschlechtern.

Schützen Sie sich: Überprüfen Sie das Zertifikatfenster und löschen Sie fehlerhafte Einträge

Wenn Sie sich Sorgen machen, sollten Sie Ihren Zertifikatspeicher überprüfen, um sicherzustellen, dass keine skizzenhaften Zertifikate installiert sind, die später von einem Proxyserver einer anderen Person aktiviert werden könnten. Dies kann etwas kompliziert sein, da dort eine Menge Zeug ist und das meiste davon dort sein soll. Wir haben auch keine gute Liste darüber, was da sein sollte und was nicht.

Verwenden Sie WIN + R, um das Dialogfeld „Ausführen“ aufzurufen, und geben Sie „mmc“ ein, um ein Microsoft Management Console-Fenster aufzurufen. Verwenden Sie dann Datei -> Snap-Ins hinzufügen / entfernen, wählen Sie Zertifikate aus der Liste links aus und fügen Sie sie dann rechts hinzu. Stellen Sie sicher, dass Sie im nächsten Dialogfeld Computerkonto auswählen, und klicken Sie sich dann durch den Rest.

Sie sollten zu Trusted Root Certification Authorities gehen und nach wirklich skizzenhaften Einträgen wie diesen (oder ähnlichen) suchen.

  • Sendori
  • Purelead
  • Raketentab
  • Super Fisch
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler ist ein legitimes Entwicklertool, aber Malware hat ihr Zertifikat entführt.)
  • System Alerts, LLC
  • CE_UmbrellaCert

Klicken Sie mit der rechten Maustaste und löschen Sie einen der gefundenen Einträge. Wenn Sie beim Testen von Google in Ihrem Browser einen Fehler festgestellt haben, müssen Sie auch diesen löschen. Seien Sie vorsichtig, denn wenn Sie hier die falschen Dinge löschen, wird Windows beschädigt.

Wir hoffen, dass Microsoft etwas veröffentlicht, um Ihre Stammzertifikate zu überprüfen und sicherzustellen, dass nur gute vorhanden sind. Theoretisch könnte man verwenden diese Liste von Microsoft der von Windows benötigten Zertifikate, und dann Update auf die neuesten Stammzertifikate, aber das ist zu diesem Zeitpunkt noch nicht getestet, und wir empfehlen es wirklich erst, wenn jemand dies ausprobiert.

Als Nächstes müssen Sie Ihren Webbrowser öffnen und die Zertifikate suchen, die dort wahrscheinlich zwischengespeichert sind. Gehen Sie für Google Chrome zu Einstellungen, Erweiterte Einstellungen und dann zu Zertifikate verwalten. Unter „Persönlich“ können Sie bei fehlerhaften Zertifikaten ganz einfach auf die Schaltfläche „Entfernen“ klicken.

Wenn Sie jedoch zu vertrauenswürdigen Stammzertifizierungsstellen wechseln, müssen Sie auf Erweitert klicken und dann alles deaktivieren, was angezeigt wird, um keine Berechtigungen mehr für dieses Zertifikat zu erteilen.

Aber das ist Wahnsinn.

Gehen Sie zum unteren Rand des Fensters „Erweiterte Einstellungen“ und klicken Sie auf „Einstellungen zurücksetzen“, um Chrome vollständig auf die Standardeinstellungen zurückzusetzen. Machen Sie dasselbe für jeden anderen Browser, den Sie verwenden, oder deinstallieren Sie ihn vollständig, löschen Sie alle Einstellungen und installieren Sie ihn erneut.

Wenn Ihr Computer betroffen ist, ist es wahrscheinlich besser, Windows vollständig neu zu installieren. Stellen Sie einfach sicher, dass Sie Ihre Dokumente und Bilder und all das sichern.

Wie schützen Sie sich?

Es ist fast unmöglich, sich vollständig zu schützen, aber hier sind einige vernünftige Richtlinien, die Ihnen helfen sollen:

Aber das ist eine Menge Arbeit, um einfach nur im Internet surfen zu wollen, ohne entführt zu werden. Es ist wie mit der TSA umzugehen.

Das Windows-Ökosystem ist eine Kavallerie von Crapware. Und jetzt ist die grundlegende Sicherheit des Internets für Windows-Benutzer gebrochen. Microsoft muss dies beheben.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia