Download.com e outros Bundle Super-estilo HTTPS Breaking Adware

Índice:

Download.com e outros Bundle Super-estilo HTTPS Breaking Adware
Download.com e outros Bundle Super-estilo HTTPS Breaking Adware

Vídeo: Download.com e outros Bundle Super-estilo HTTPS Breaking Adware

Vídeo: Download.com e outros Bundle Super-estilo HTTPS Breaking Adware
Vídeo: Como sinalizar e fixar mensagens no Outlook.com - YouTube 2024, Abril
Anonim
É um momento assustador para ser um usuário do Windows. A Lenovo estava juntando o adware Superfish sequestrador de HTTPS, o Comodo vem com uma falha de segurança ainda pior chamada PrivDog, e dezenas de outros aplicativos como o LavaSoft estão fazendo o mesmo. É muito ruim, mas se você quiser que as sessões da Web criptografadas sejam invadidas, vá até o site de download da CNET ou de qualquer site gratuito, pois agora elas estão adicionando o adware de quebra de HTTPS.
É um momento assustador para ser um usuário do Windows. A Lenovo estava juntando o adware Superfish sequestrador de HTTPS, o Comodo vem com uma falha de segurança ainda pior chamada PrivDog, e dezenas de outros aplicativos como o LavaSoft estão fazendo o mesmo. É muito ruim, mas se você quiser que as sessões da Web criptografadas sejam invadidas, vá até o site de download da CNET ou de qualquer site gratuito, pois agora elas estão adicionando o adware de quebra de HTTPS.

O fiasco do Superfish começou quando os pesquisadores notaram que o Superfish, empacotado em computadores Lenovo, estava instalando um certificado falso falso no Windows que essencialmente seqüestra toda a navegação HTTPS para que os certificados pareçam válidos mesmo se não estiverem, e eles o fizeram de tal forma. insegura maneira que qualquer hacker kiddie script poderia realizar a mesma coisa.

E então eles estão instalando um proxy em seu navegador e forçando toda a sua navegação através dele para que eles possam inserir anúncios. É isso mesmo, mesmo quando você se conecta ao seu banco ou site de seguro de saúde ou em qualquer lugar que deva ser seguro. E você nunca saberia, porque eles quebraram a criptografia do Windows para mostrar anúncios.

Mas o fato triste e triste é que eles não são os únicos a fazer isso - adware como Wajam, Geniusbox, Content Explorer e outros estão fazendo exatamente a mesma coisa, instalando seus próprios certificados e forçando toda a sua navegação (incluindo sessões de navegação criptografada HTTPS) para passar pelo seu servidor proxy. E você pode se infectar com esse absurdo apenas instalando dois dos 10 principais aplicativos nos Downloads CNET.

O importante é que você não pode mais confiar no ícone de cadeado verde na barra de endereços do seu navegador. E isso é assustador e assustador.

Como o adware HTTPS-Hijacking funciona e por que é tão ruim

Image
Image

Como já mostramos anteriormente, se você cometer o enorme erro gigantesco de confiar nos Downloads CNET, você já pode estar infectado com esse tipo de adware. Dois dos dez principais downloads no CNET (KMPlayer e YTD) estão agrupando dois tipos diferentes de adware HTTPS-hijackinge, em nossa pesquisa, descobrimos que a maioria dos outros sites freeware está fazendo a mesma coisa.

Nota:os instaladores são tão complicados e complicados que não temos certeza de quem é tecnicamente fazendo o "pacote", mas a CNET está promovendo esses aplicativos em sua página inicial, por isso é realmente uma questão de semântica. Se você está recomendando que as pessoas façam o download de algo que seja ruim, você é igualmente culpado. Também descobrimos que muitas dessas empresas de adware são secretamente as mesmas pessoas que usam nomes de empresa diferentes.

Com base nos números de download da lista dos 10 melhores apenas em downloads da CNET, um milhão de pessoas são infectadas todos os meses com adware que está seqüestrando suas sessões da Web criptografadas em seus bancos, e-mails ou qualquer coisa que deva ser segura.

Se você cometeu o erro de instalar o KMPlayer e conseguiu ignorar todos os outros itens, você verá esta janela. E se você acidentalmente clicar em Aceitar (ou pressionar a tecla errada), seu sistema será exibido.

Se você acabou baixando algo de uma fonte ainda mais superficial, como os anúncios de download em seu mecanismo de pesquisa favorito, verá uma lista completa de coisas que não são boas. E agora sabemos que muitos deles vão quebrar completamente a validação do certificado HTTPS, deixando-o completamente vulnerável.
Se você acabou baixando algo de uma fonte ainda mais superficial, como os anúncios de download em seu mecanismo de pesquisa favorito, verá uma lista completa de coisas que não são boas. E agora sabemos que muitos deles vão quebrar completamente a validação do certificado HTTPS, deixando-o completamente vulnerável.
Depois que você se infectar com qualquer uma dessas coisas, a primeira coisa que acontece é que ele define o proxy do seu sistema para ser executado através de um proxy local que é instalado no seu computador. Preste especial atenção ao item "Seguro" abaixo. Neste caso, foi da Wajam Internet “Enhancer”, mas poderia ser Superfish ou Geniusbox ou qualquer um dos outros que encontramos, todos funcionam da mesma maneira.
Depois que você se infectar com qualquer uma dessas coisas, a primeira coisa que acontece é que ele define o proxy do seu sistema para ser executado através de um proxy local que é instalado no seu computador. Preste especial atenção ao item "Seguro" abaixo. Neste caso, foi da Wajam Internet “Enhancer”, mas poderia ser Superfish ou Geniusbox ou qualquer um dos outros que encontramos, todos funcionam da mesma maneira.
Image
Image

Quando você acessa um site que deve ser seguro, verá o ícone de cadeado verde e tudo ficará perfeitamente normal. Você pode até clicar no cadeado para ver os detalhes, e parecerá que está tudo bem. Você está usando uma conexão segura e até o Google Chrome informará que você está conectado ao Google com uma conexão segura. Mas você não é!

System Alerts LLC não é um certificado raiz real e você está realmente passando por um proxy Man-in-the-Middle que está inserindo anúncios em páginas (e quem sabe o que mais). Você deve apenas enviá-las todas as suas senhas, seria mais fácil.

Quando o adware estiver instalado e fazendo o proxy de todo o tráfego, você começará a ver anúncios realmente desagradáveis em todo o lugar. Esses anúncios são exibidos em sites seguros, como o Google, substituindo os anúncios reais do Google, ou aparecem como pop-ups em todo o lugar, ocupando todos os sites.
Quando o adware estiver instalado e fazendo o proxy de todo o tráfego, você começará a ver anúncios realmente desagradáveis em todo o lugar. Esses anúncios são exibidos em sites seguros, como o Google, substituindo os anúncios reais do Google, ou aparecem como pop-ups em todo o lugar, ocupando todos os sites.
A maior parte desse adware mostra links de "anúncios" para malwares diretos. Então, enquanto o adware em si pode ser um incômodo legal, eles permitem algumas coisas muito, muito ruins.
A maior parte desse adware mostra links de "anúncios" para malwares diretos. Então, enquanto o adware em si pode ser um incômodo legal, eles permitem algumas coisas muito, muito ruins.

Eles fazem isso instalando seus certificados raiz falsos no armazenamento de certificados do Windows e, em seguida, intermediando por proxy as conexões seguras, assinando-as com seu certificado falso.

Se você olhar no painel Certificados do Windows, poderá ver todos os tipos de certificados completamente válidos… mas se o seu PC tiver algum tipo de adware instalado, você verá itens falsos, como System Alerts, LLC ou Superfish, Wajam ou dezenas de outras falsificações.

Mesmo se você tiver sido infectado e removido o badware, os certificados ainda poderão estar lá, tornando-o vulnerável a outros hackers que possam ter extraído as chaves privadas. Muitos dos instaladores de adware não removem os certificados quando você os desinstala.
Mesmo se você tiver sido infectado e removido o badware, os certificados ainda poderão estar lá, tornando-o vulnerável a outros hackers que possam ter extraído as chaves privadas. Muitos dos instaladores de adware não removem os certificados quando você os desinstala.

Eles são todos os ataques do tipo man-in-the-middle e é assim que funcionam

Se o seu PC tiver certificados raiz falsos instalados no armazenamento de certificados, você estará vulnerável a ataques Man-in-the-Middle. O que isto significa é que, se você se conectar a um hotspot público, ou alguém conseguir acesso à sua rede ou conseguir hackear alguma coisa de você, eles poderão substituir sites legítimos por sites falsos. Isso pode parecer improvável, mas os hackers têm conseguido usar os hijacks do DNS em alguns dos maiores sites da Web para sequestrar usuários em sites falsos.
Se o seu PC tiver certificados raiz falsos instalados no armazenamento de certificados, você estará vulnerável a ataques Man-in-the-Middle. O que isto significa é que, se você se conectar a um hotspot público, ou alguém conseguir acesso à sua rede ou conseguir hackear alguma coisa de você, eles poderão substituir sites legítimos por sites falsos. Isso pode parecer improvável, mas os hackers têm conseguido usar os hijacks do DNS em alguns dos maiores sites da Web para sequestrar usuários em sites falsos.

Uma vez sequestrados, eles podem ler cada coisa que você enviar para um site privado - senhas, informações privadas, informações de saúde, e-mails, números de previdência social, informações bancárias etc. E você nunca saberá porque seu navegador informará que sua conexão é segura.

Isso funciona porque a criptografia de chave pública requer uma chave pública e uma chave privada. As chaves públicas são instaladas no armazenamento de certificados e a chave privada deve ser conhecida apenas pelo site que você está visitando. Mas quando os invasores podem seqüestrar seu certificado raiz e manter as chaves públicas e privadas, eles podem fazer o que quiserem.

No caso do Superfish, eles usaram a mesma chave privada em cada computador que tenha o Superfish instalado e, em poucas horas, os pesquisadores de segurança conseguiram extrair as chaves privadas e criar sites para testar se você está vulnerável e provar que ser seqüestrado. Para Wajam e Geniusbox, as chaves são diferentes, mas o Content Explorer e alguns outros adwares também usam as mesmas chaves em todos os lugares, o que significa que esse problema não é exclusivo do Superfish.

Ele fica pior: a maior parte dessa porcaria desativa a validação HTTPS

Ainda ontem, os pesquisadores de segurança descobriram um problema ainda maior: todos esses proxies HTTPS desativam toda a validação, fazendo com que pareça que tudo está bem.

Isso significa que você pode acessar um site HTTPS com um certificado completamente inválido, e esse adware informará que o site está ótimo. Testamos o adware mencionado anteriormente e eles estão desativando totalmente a validação de HTTPS. Por isso, não importa se as chaves privadas são exclusivas ou não. Chocantemente ruim!

Qualquer pessoa com adware instalado é vulnerável a todos os tipos de ataques e, em muitos casos, continua vulnerável mesmo quando o adware é removido.
Qualquer pessoa com adware instalado é vulnerável a todos os tipos de ataques e, em muitos casos, continua vulnerável mesmo quando o adware é removido.

Você pode verificar se você está vulnerável a Superfish, Komodia ou verificação de certificados inválidos usando o site de teste criado por pesquisadores de segurança, mas como já demonstramos, há muito mais adwares por aí fazendo a mesma coisa, e da nossa pesquisa, as coisas vão continuar a piorar.

Proteja-se: verifique o painel de certificados e exclua as entradas incorretas

Se estiver preocupado, você deve verificar o seu armazenamento de certificados para certificar-se de que não tenha nenhum certificado incompleto instalado que possa ser ativado posteriormente pelo servidor proxy de alguém. Isso pode ser um pouco complicado, porque há muita coisa lá, e a maior parte dela deve estar lá. Também não temos uma boa lista do que deve ou não estar lá.

Use WIN + R para abrir a caixa de diálogo Executar e digite “mmc” para abrir uma janela do Microsoft Management Console. Em seguida, use Arquivo -> Adicionar / Remover Snap-ins, selecione Certificados na lista à esquerda e, em seguida, adicione-o ao lado direito. Certifique-se de selecionar Conta do computador na próxima caixa de diálogo e clique no restante.

  • Sendori
  • Purelead
  • Aba do foguete
  • Peixe super
  • Lookthisup
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (o Fiddler é uma ferramenta de desenvolvedor legítima, mas o malware sequestrou seu certificado)
  • Alertas do sistema, LLC
  • CE_UmbrellaCert

Clique com o botão direito do mouse e exclua qualquer uma dessas entradas encontradas. Se você viu algo incorreto quando testou o Google no seu navegador, exclua esse também. Só tome cuidado, porque se você excluir as coisas erradas aqui, você vai quebrar o Windows.

Esperamos que a Microsoft lance algo para verificar seus certificados raiz e verifique se apenas os bons estão lá. Teoricamente, você poderia usar essa lista da Microsoft com os certificados exigidos pelo Windows e depois atualizar para os certificados raiz mais recentes, mas isso não foi testado até o momento, e realmente não recomendamos isso até que alguém teste isso.
Esperamos que a Microsoft lance algo para verificar seus certificados raiz e verifique se apenas os bons estão lá. Teoricamente, você poderia usar essa lista da Microsoft com os certificados exigidos pelo Windows e depois atualizar para os certificados raiz mais recentes, mas isso não foi testado até o momento, e realmente não recomendamos isso até que alguém teste isso.

Em seguida, você precisará abrir seu navegador da Web e encontrar os certificados que provavelmente estão armazenados em cache. Para o Google Chrome, vá para Configurações, Configurações avançadas e, em seguida, Gerenciar certificados. Em Pessoal, você pode clicar facilmente no botão Remover em todos os certificados ruins…

Mas quando você for para as Autoridades de certificação raiz confiáveis, terá que clicar em Avançado e, em seguida, desmarcar tudo o que vê para parar de conceder permissões para esse certificado …
Mas quando você for para as Autoridades de certificação raiz confiáveis, terá que clicar em Avançado e, em seguida, desmarcar tudo o que vê para parar de conceder permissões para esse certificado …

Mas isso é insanidade.

Vá para a parte inferior da janela Configurações avançadas e clique em Redefinir configurações para redefinir completamente o Chrome para os padrões. Faça o mesmo para qualquer outro navegador que você esteja usando, ou desinstale completamente, limpe todas as configurações e instale-o novamente.

Se o seu computador tiver sido afetado, é melhor você fazer uma instalação totalmente limpa do Windows. Apenas certifique-se de fazer backup de seus documentos e fotos e tudo isso.

Então como você se protege?

É quase impossível proteger-se completamente, mas aqui estão algumas diretrizes de bom senso para ajudá-lo:

  • Verifique o site de teste de validação do Superfish / Komodia / Certification.
  • Habilite o Click-To-Play para plugins no seu navegador, o que ajudará a protegê-lo de todas as falhas de segurança do Flash de dia zero e de outros plug-ins existentes.
  • Seja muito cuidadoso com o que você baixar e tente usar o Ninite quando for absolutamente necessário.
  • Preste atenção ao que você está clicando a qualquer momento que você clicar.
  • Considere o uso do Enhanced Mitigation Experience Toolkit (EMET) da Microsoft ou do Malwarebytes Anti-Exploit para proteger seu navegador e outros aplicativos críticos contra brechas de segurança e ataques de dia zero.
  • Certifique-se de que todos os seus softwares, plug-ins e antivírus permaneçam atualizados, incluindo também as Atualizações do Windows.

Mas isso é muito trabalho apenas por querer navegar na Web sem ser sequestrado. É como lidar com o TSA.

O ecossistema do Windows é uma cavalgada de crapware. E agora a segurança fundamental da Internet está quebrada para os usuários do Windows. A Microsoft precisa consertar isso.

Recomendado:

Por que algumas conexões de download dominam os outros?

Por que algumas conexões de download dominam os outros?

Se você costuma fazer o download de vários itens ao mesmo tempo, provavelmente notou que uma conexão de download tende a dominar as outras até que seja concluída. Por que é que? A postagem de perguntas e respostas do SuperUser de hoje tem a resposta para a pergunta de um leitor curioso.

RadioZilla revisão e download: Ouça, download de músicas de estações de rádio on-line

RadioZilla revisão e download: Ouça, download de músicas de estações de rádio on-line

Tenha acesso a milhares de estações de rádio online com a Radiozilla. Lisetn para e baixar músicas. É compatível com a maioria das versões do sistema operacional Windows.

Ultra Adware Killer: Remova completamente o Adware e rastreia

Ultra Adware Killer: Remova completamente o Adware e rastreia

O Ultra Adware Killer é uma ferramenta de limpeza e remoção de Adware portátil gratuita que ajuda os usuários a remover completamente o Adware e seus rastreamentos dos sistemas Windows.

Localizar, Organizar, Fazer Download de Anexos de E-mail com o Download de Anexo de Correio

Localizar, Organizar, Fazer Download de Anexos de E-mail com o Download de Anexo de Correio

Mail Attachment Downloader é um programa gratuito para o sistema operacional Windows que automaticamente encontra e baixa seus anexos de e-mail da conta on-line.

AdwCleaner revisão e download gratuito: Remover Adware, PUP, barras de ferramentas, etc.

AdwCleaner revisão e download gratuito: Remover Adware, PUP, barras de ferramentas, etc.

O AdwCleaner 7 remove de forma eficiente o Adware, Programas Potencialmente Indesejados (PUPs), Barras de Ferramentas, Seqüestradores de Navegador, Crapware, Junkware e outros malwares do Windows.