Startseite » wie man » Download.com und andere bieten Superfish-Style HTTPS Breaking Adware

    Download.com und andere bieten Superfish-Style HTTPS Breaking Adware

    Es ist eine beängstigende Zeit, ein Windows-Benutzer zu sein. Lenovo bündelte HTTPS-Hijacking-Superfish-Adware, Comodo hat ein noch schlimmeres Sicherheitsloch namens PrivDog, und Dutzende anderer Apps wie LavaSoft tun das Gleiche. Es ist wirklich schlimm, aber wenn Sie wollen, dass Ihre verschlüsselten Websitzungen gekapert werden, besuchen Sie einfach CNET Downloads oder eine Freeware-Site, da sie jetzt alle HTTPS-brechende Adware bündeln.

    Das Superfish-Fiasko begann, als die Forscher bemerkten, dass Superfish, das auf Lenovo-Computern gebündelt ist, ein gefälschtes Root-Zertifikat in Windows installierte, das im Wesentlichen alle HTTPS-Browser übernimmt, so dass die Zertifikate immer gültig wirken, selbst wenn sie es nicht sind unsichere Art und Weise, dass jeder Script-Kiddie-Hacker dasselbe erreichen könnte.

    Und dann installieren sie einen Proxy in Ihrem Browser und zwingen alle Ihre Browser-Aktivitäten, damit sie Anzeigen einfügen können. Das ist richtig, auch wenn Sie eine Verbindung zu Ihrer Bank, Ihrer Krankenversicherung oder an einem Ort herstellen, der sicher sein sollte. Und Sie würden es nie erfahren, weil sie die Windows-Verschlüsselung gebrochen haben, um Anzeigen zu schalten.

    Die traurige und traurige Tatsache ist jedoch, dass sie nicht die einzigen sind, die dies tun - Adware wie Wajam, Geniusbox, Content Explorer und andere machen dasselbe, eigene Zertifikate installieren und alle Ihre Browser (einschließlich HTTPS-verschlüsselte Browsersitzungen) zwingen, über ihren Proxy-Server zu gehen. Sie können sich mit diesem Unsinn anstecken, indem Sie zwei der Top-10-Apps von CNET Downloads installieren.

    Im Endeffekt können Sie diesem grünen Schlosssymbol in der Adressleiste Ihres Browsers nicht mehr vertrauen. Und das ist eine beängstigende, beängstigende Sache.

    Wie HTTPS-Hijacking Adware funktioniert und warum es so schlimm ist

    Ähm, ich brauche dich, um den Tab zu schließen. Mmkay?

    Wie wir bereits gezeigt haben, könnten Sie mit diesem Adware-Typ bereits infiziert sein, wenn Sie den riesigen riesigen Fehler machen, CNET Downloads zu vertrauen. Zwei der Top-Ten-Downloads von CNET (KMPlayer und YTD) bündeln zwei verschiedene Arten von HTTPS-Hijacking-Adware, In unseren Recherchen haben wir festgestellt, dass die meisten anderen Freeware-Websites dasselbe tun.

    Hinweis: Die Installer sind so knifflig und kompliziert, dass wir nicht sicher sind, wer das ist technisch Das "Bündeln", aber CNET wirbt für diese Apps auf ihrer Homepage, also ist es wirklich eine Frage der Semantik. Wenn Sie den Leuten empfehlen, etwas Schlechtes herunterzuladen, sind Sie ebenfalls schuld. Wir haben auch festgestellt, dass viele dieser Adware-Unternehmen heimlich dieselben Personen sind, die unterschiedliche Firmennamen verwenden.

    Allein aufgrund der Download-Nummern aus der Top-10-Liste von CNET Downloads werden jeden Monat eine Million Menschen mit Adware infiziert, die ihre verschlüsselten Websitzungen in ihre Bank, E-Mail oder alles, was sicher ist, entführt.

    Wenn Sie bei der Installation von KMPlayer einen Fehler gemacht haben und alle anderen Crapware-Dateien ignorieren, wird dieses Fenster angezeigt. Wenn Sie versehentlich auf "Akzeptieren" klicken (oder die falsche Taste drücken), wird Ihr System deaktiviert.

    Download-Sites sollten sich schämen.

    Wenn Sie am Ende etwas aus einer noch skizzenhafteren Quelle heruntergeladen haben, z. B. die Download-Anzeigen in Ihrer bevorzugten Suchmaschine, wird eine ganze Liste von Dingen angezeigt, die nicht gut sind. Und jetzt wissen wir, dass viele von ihnen die Validierung von HTTPS-Zertifikaten vollständig brechen werden, wodurch Sie völlig angreifbar werden.

    Lavasoft Web Companion unterbricht auch die HTTPS-Verschlüsselung, dieser Bundler hat jedoch auch Adware installiert.

    Sobald Sie sich mit einem dieser Dinge infiziert haben, wird als Erstes Ihr System-Proxy so eingestellt, dass er durch einen lokalen Proxy läuft, der auf Ihrem Computer installiert wird. Achten Sie besonders auf den Punkt "Sichern" unten. In diesem Fall kam es von Wajam Internet „Enhancer“, aber es könnte Superfish oder Geniusbox oder eine der anderen sein, die wir gefunden haben, sie arbeiten alle auf dieselbe Weise.

    Es ist ironisch, dass Lenovo das Wort "verbessern" verwendet, um Superfish zu beschreiben.

    Wenn Sie zu einer Website gehen, die sicher sein sollte, wird das grüne Schlosssymbol angezeigt, und alles wird vollkommen normal aussehen. Sie können sogar auf das Schloss klicken, um die Details anzuzeigen, und es scheint, dass alles in Ordnung ist. Sie verwenden eine sichere Verbindung, und sogar Google Chrome meldet, dass Sie über eine sichere Verbindung mit Google verbunden sind. Aber du bist nicht!

    System Alerts LLC ist kein echtes Stammzertifikat. Sie durchlaufen tatsächlich einen Man-in-the-Middle-Proxy, der Anzeigen in Seiten einfügt (und wer weiß, was sonst noch). Sie sollten ihnen einfach alle Passwörter per E-Mail zusenden, es wäre einfacher.

    Systemwarnung: Ihr System wurde gefährdet.

    Sobald die Adware installiert ist und den gesamten Datenverkehr abdeckt, werden Sie überall auf der Website wirklich abscheuliche Anzeigen sehen. Diese Anzeigen werden auf sicheren Websites wie Google angezeigt und ersetzen die eigentlichen Google-Anzeigen. Sie werden als Popup-Fenster überall angezeigt und übernehmen jede Website.

    Ich möchte mein Google ohne Malware-Links, danke.

    Die meisten dieser Adware-Links enthalten Ad-Links zu Malware. Obwohl die Adware selbst ein rechtes Ärgernis sein kann, kann sie wirklich sehr, sehr schlechte Dinge ermöglichen.

    Sie erreichen dies, indem sie ihre gefälschten Stammzertifikate im Windows-Zertifikatspeicher installieren und dann die sicheren Verbindungen weiterleiten, während sie sie mit ihrem gefälschten Zertifikat signieren.

    Wenn Sie im Windows-Zertifikatfenster nachschauen, können Sie alle Arten von vollständig gültigen Zertifikaten sehen. Wenn auf Ihrem PC jedoch Adware installiert ist, werden Sie gefälschte Dinge wie System Alerts, LLC oder Superfish, Wajam oder sehen Dutzende anderer Fälschungen.

    Ist das von Umbrella Corporation?

    Selbst wenn Sie die Badware infiziert und anschließend entfernt haben, sind die Zertifikate möglicherweise immer noch vorhanden, was Sie anfällig für andere Hacker macht, die möglicherweise die privaten Schlüssel extrahiert haben. Viele der Adware-Installationsprogramme entfernen die Zertifikate nicht, wenn Sie sie deinstallieren.

    Sie sind alle Man-in-the-Middle-Angriffe und hier ist, wie sie funktionieren

    Dies ist von einem echten Live-Angriff des großartigen Sicherheitsforschers Rob Graham

    Wenn auf Ihrem PC falsche Zertifikate im Zertifikatsspeicher installiert sind, sind Sie jetzt anfällig für Man-in-the-Middle-Angriffe. Dies bedeutet, wenn Sie eine Verbindung zu einem öffentlichen Hotspot herstellen oder jemand Zugriff auf Ihr Netzwerk erhält oder es gelingt, Upstream-Dateien von Ihnen zu hacken, kann er legitime Sites durch gefälschte Sites ersetzen. Dies mag weit hergeholt klingen, aber Hacker konnten auf einigen der größten Websites im Internet DNS-Hijacks verwenden, um Benutzer auf eine gefälschte Site zu hijacken.

    Sobald Sie entführt wurden, können sie alles lesen, was Sie an eine private Site übermitteln - Kennwörter, private Informationen, Gesundheitsinformationen, E-Mails, Sozialversicherungsnummern, Bankdaten usw. Und Sie werden es nie erfahren, weil Ihr Browser es Ihnen sagt dass deine Verbindung sicher ist.

    Dies funktioniert, weil die Verschlüsselung mit öffentlichen Schlüsseln sowohl einen öffentlichen als auch einen privaten Schlüssel erfordert. Die öffentlichen Schlüssel werden im Zertifikatspeicher installiert, und der private Schlüssel sollte nur der Website bekannt sein, die Sie besuchen. Wenn Angreifer jedoch Ihr Stammzertifikat entführen und sowohl die öffentlichen als auch die privaten Schlüssel im Besitz haben, können sie alles tun, was sie wollen.

    Im Falle von Superfish verwendeten sie auf jedem Computer, auf dem Superfish installiert ist, den gleichen privaten Schlüssel. Innerhalb weniger Stunden konnten Sicherheitsforscher die privaten Schlüssel extrahieren und Websites erstellen, um zu testen, ob Sie anfällig sind, und beweisen, dass Sie dies tun könnten entführt werden Bei Wajam und Geniusbox sind die Schlüssel unterschiedlich, aber auch der Content Explorer und andere Adware verwenden überall dieselben Schlüssel, was bedeutet, dass dieses Problem nicht nur für Superfish gilt.

    Es wird noch schlimmer: Der größte Teil dieses Mistes deaktiviert die HTTPS-Validierung vollständig

    Erst gestern entdeckten Sicherheitsforscher ein noch größeres Problem: Alle diese HTTPS-Proxys deaktivieren die Gültigkeitsprüfung und lassen so aussehen, als sei alles in Ordnung.

    Das bedeutet, dass Sie zu einer HTTPS-Website mit einem vollständig ungültigen Zertifikat wechseln können. Diese Adware wird Ihnen sagen, dass die Website in Ordnung ist. Wir haben die zuvor erwähnte Adware getestet, und sie deaktivieren alle die HTTPS-Validierung vollständig. Es spielt also keine Rolle, ob die privaten Schlüssel eindeutig sind oder nicht. Schockierend schlecht!

    All diese Adware bricht die Zertifikatsüberprüfung vollständig ab.

    Jeder, auf dem Adware installiert ist, ist anfällig für alle Arten von Angriffen. In vielen Fällen ist er auch dann noch anfällig, wenn die Adware entfernt wird.

    Sie können anhand der von Sicherheitsforschern erstellten Testseite überprüfen, ob Sie anfällig für Superfish, Komodia oder ungültige Zertifikatsüberprüfungen sind. Wie wir jedoch bereits gezeigt haben, gibt es viel mehr Adware, die dasselbe tun, und aus unserer Forschung Die Dinge werden sich weiter verschlechtern.

    Schützen Sie sich: Überprüfen Sie das Zertifikatsfenster und löschen Sie ungültige Einträge

    Wenn Sie sich Sorgen machen, sollten Sie Ihren Zertifikatsspeicher überprüfen, um sicherzustellen, dass keine skizzenhaften Zertifikate installiert sind, die später vom Proxy-Server eines anderen Benutzers aktiviert werden könnten. Das kann ein wenig kompliziert sein, da sich dort viel Zeug befindet und das meiste davon da sein sollte. Wir haben auch keine gute Liste, was da sein sollte und was nicht.

    Verwenden Sie WIN + R, um das Dialogfeld "Ausführen" aufzurufen, und geben Sie "mmc" ein, um ein Microsoft Management Console-Fenster aufzurufen. Verwenden Sie dann Datei -> Snap-Ins hinzufügen / entfernen, und wählen Sie in der Liste auf der linken Seite Zertifikate aus, und fügen Sie sie auf der rechten Seite hinzu. Stellen Sie sicher, dass Sie im nächsten Dialogfeld Computerkonto auswählen, und klicken Sie dann auf den Rest.

    Sie sollten sich an vertrauenswürdige Stammzertifizierungsstellen wenden und nach wirklich skizzenhaften Einträgen wie diesen (oder ähnlichem) suchen.

    • Sendori
    • Purelead
    • Raketen-Tab
    • Super Fisch
    • Lookthisup
    • Pando
    • Wajam
    • WajaNacht
    • DO_NOT_TRUSTFiddler_root (Fiddler ist ein legitimes Entwicklertool, aber Malware hat ihr Zertifikat entführt.)
    • System Alerts, LLC
    • CE_UmbrellaCert

    Klicken Sie mit der rechten Maustaste und löschen Sie alle gefundenen Einträge. Wenn Sie beim Testen von Google in Ihrem Browser etwas Falsches festgestellt haben, müssen Sie auch dieses löschen. Seien Sie vorsichtig, denn wenn Sie die falschen Dinge hier löschen, werden Sie Windows zerbrechen.

    Wir hoffen, dass Microsoft etwas veröffentlicht, um Ihre Stammzertifikate zu überprüfen und sicherzustellen, dass nur gute Zertifikate vorhanden sind. Theoretisch könnten Sie diese Liste der von Windows benötigten Zertifikate von Microsoft verwenden und dann auf die neuesten Stammzertifikate aktualisieren. Dies ist jedoch zu diesem Zeitpunkt völlig ungetestet, und wir empfehlen es wirklich nicht, bis jemand dies testet.

    Als Nächstes müssen Sie Ihren Webbrowser öffnen und die Zertifikate finden, die wahrscheinlich dort zwischengespeichert werden. Wechseln Sie für Google Chrome zu Einstellungen, Erweiterte Einstellungen und dann zum Verwalten von Zertifikaten. Unter Persönlich können Sie bei fehlerhaften Zertifikaten einfach auf die Schaltfläche Entfernen klicken.

    Wenn Sie jedoch zu den vertrauenswürdigen Stammzertifizierungsstellen wechseln, müssen Sie auf Erweitert klicken und dann alles deaktivieren, was Sie sehen, damit Sie keine Berechtigungen mehr für dieses Zertifikat erteilen.

    Aber das ist Wahnsinn.

    Klicken Sie unten im Fenster "Erweiterte Einstellungen" auf "Einstellungen zurücksetzen", um Chrome vollständig auf die Standardeinstellungen zurückzusetzen. Machen Sie dasselbe für jeden anderen Browser oder entfernen Sie ihn vollständig, löschen Sie alle Einstellungen und installieren Sie ihn erneut.

    Wenn Ihr Computer betroffen ist, ist es wahrscheinlich besser, eine vollständig saubere Installation von Windows durchzuführen. Stellen Sie sicher, dass Sie Ihre Dokumente und Bilder und all das sichern.

    Wie schützen Sie sich also??

    Es ist fast unmöglich, sich vollständig zu schützen, aber hier sind ein paar allgemeine Richtlinien, die Ihnen helfen sollen:

    • Überprüfen Sie die Teststelle für Superfish / Komodia / Zertifizierung.
    • Aktivieren Sie Click-To-Play für Plugins in Ihrem Browser, um Sie vor all den Zero-Day-Flash- und anderen Sicherheitslücken zu schützen.
    • Seien Sie wirklich vorsichtig, was Sie herunterladen und versuchen Sie, Ninite zu verwenden, wenn Sie dies unbedingt tun müssen.
    • Achten Sie bei jedem Klick darauf, was Sie klicken.
    • Erwägen Sie die Verwendung von EMET (Enhanced Mitigation Experience Toolkit) oder Malwarebytes Anti-Exploit, um Ihren Browser und andere wichtige Anwendungen vor Sicherheitslücken und Zero-Day-Angriffen zu schützen.
    • Stellen Sie sicher, dass alle Ihre Software, Plug-Ins und Virenschutzprogramme auf dem neuesten Stand sind. Dazu gehören auch Windows-Updates.

    Aber das ist eine schreckliche Arbeit, nur um im Internet surfen zu können, ohne gekapert zu werden. Es ist wie mit der TSA zu tun.

    Das Windows-Ökosystem ist ein Kampf um Crapware. Und jetzt ist die grundlegende Sicherheit des Internets für Windows-Benutzer durchbrochen. Microsoft muss das beheben.