Beranda » bagaimana » Download.com dan Lainnya Bundle Superfish-Style HTTPS Breaking Adware

    Download.com dan Lainnya Bundle Superfish-Style HTTPS Breaking Adware

    Ini waktu yang menakutkan untuk menjadi pengguna Windows. Lenovo sedang menggabungkan adware Superfish pembajakan HTTPS, Comodo dikirimkan dengan lubang keamanan yang bahkan lebih buruk yang disebut PrivDog, dan puluhan aplikasi lain seperti LavaSoft melakukan hal yang sama. Ini benar-benar buruk, tetapi jika Anda ingin sesi web terenkripsi Anda dibajak, langsung saja ke CNET Downloads atau situs freeware, karena mereka semua menggabungkan adware HTTPS yang melanggar sekarang.

    Kegagalan Superfish dimulai ketika para peneliti memperhatikan bahwa Superfish, yang dibundel pada komputer Lenovo, sedang memasang sertifikat root palsu ke Windows yang pada dasarnya membajak semua penelusuran HTTPS sehingga sertifikat tersebut selalu terlihat valid bahkan jika tidak, dan mereka melakukannya dengan cara seperti itu. cara tidak aman bahwa setiap hacker script anak bisa mencapai hal yang sama.

    Dan kemudian mereka memasang proxy ke browser Anda dan memaksa semua penjelajahan Anda melaluinya sehingga mereka dapat memasukkan iklan. Itu benar, bahkan ketika Anda terhubung ke bank Anda, atau situs asuransi kesehatan, atau di mana saja yang seharusnya aman. Dan Anda tidak akan pernah tahu, karena mereka melanggar enkripsi Windows untuk menampilkan iklan kepada Anda.

    Tetapi fakta yang menyedihkan adalah bahwa mereka bukan satu-satunya yang melakukan ini - adware seperti Wajam, Geniusbox, Content Explorer, dan lainnya semuanya melakukan hal yang sama persis, menginstal sertifikat mereka sendiri dan memaksa semua penjelajahan Anda (termasuk sesi penjelajahan terenkripsi HTTPS) untuk pergi melalui server proxy mereka. Dan Anda dapat terinfeksi dengan omong kosong ini hanya dengan menginstal dua dari 10 aplikasi teratas di Unduhan CNET.

    Intinya adalah bahwa Anda tidak dapat lagi mempercayai ikon kunci hijau di bilah alamat browser Anda. Dan itu menakutkan, hal yang menakutkan.

    Bagaimana Adware HTTPS-Hijacking Bekerja, dan Mengapa Itu Sangat Buruk

    Ummm, aku ingin kamu pergi dan menutup tab itu. Mmkay?

    Seperti yang telah kami tunjukkan sebelumnya, jika Anda membuat kesalahan besar dalam mempercayai Unduhan CNET, Anda mungkin sudah terinfeksi dengan jenis adware ini. Dua dari sepuluh unduhan di CNET (KMPlayer dan YTD) menggabungkan dua jenis adware pembajakan HTTPS, dan dalam penelitian kami, kami menemukan bahwa sebagian besar situs freeware lain melakukan hal yang sama.

    catatan: installer sangat rumit dan berbelit-belit sehingga kami tidak yakin siapa secara teknis melakukan "bundling," tetapi CNET mempromosikan aplikasi ini di beranda mereka, jadi itu benar-benar masalah semantik. Jika Anda merekomendasikan agar orang mengunduh sesuatu yang buruk, Anda sama-sama salah. Kami juga menemukan bahwa banyak dari perusahaan adware ini secara diam-diam adalah orang yang sama menggunakan nama perusahaan yang berbeda.

    Berdasarkan nomor unduhan dari daftar 10 teratas di CNET Downloads saja, satu juta orang terinfeksi setiap bulan dengan adware yang membajak sesi web terenkripsi mereka ke bank mereka, atau email, atau apa pun yang harus diamankan.

    Jika Anda melakukan kesalahan dengan menginstal KMPlayer, dan Anda berhasil mengabaikan semua crapware lainnya, Anda akan disajikan dengan jendela ini. Dan jika Anda secara tidak sengaja mengklik Terima (atau menekan tombol yang salah) sistem Anda akan pwned.

    Situs unduhan harus malu pada diri mereka sendiri.

    Jika Anda akhirnya mengunduh sesuatu dari sumber yang bahkan lebih samar, seperti iklan unduhan di mesin pencari favorit Anda, Anda akan melihat seluruh daftar barang yang tidak baik. Dan sekarang kita tahu bahwa banyak dari mereka akan benar-benar memecah validasi sertifikat HTTPS, membuat Anda benar-benar rentan.

    Lavasoft Web Companion juga memecah enkripsi HTTPS, tetapi bundler ini juga menginstal adware.

    Setelah Anda terinfeksi salah satu dari hal-hal ini, hal pertama yang terjadi adalah mengatur proxy sistem Anda untuk dijalankan melalui proxy lokal yang diinstal di komputer Anda. Berikan perhatian khusus pada item "Aman" di bawah ini. Dalam hal ini dari Wajam Internet "Enhancer," tetapi bisa jadi Superfish atau Geniusbox atau yang lainnya yang kami temukan, semuanya bekerja dengan cara yang sama.

    Sungguh ironis bahwa Lenovo menggunakan kata "boost" untuk menggambarkan Superfish.

    Ketika Anda pergi ke situs yang seharusnya aman, Anda akan melihat ikon kunci hijau dan semuanya akan terlihat normal. Anda bahkan dapat mengklik kunci untuk melihat detailnya, dan akan muncul bahwa semuanya baik-baik saja. Anda menggunakan koneksi aman, dan bahkan Google Chrome akan melaporkan bahwa Anda terhubung ke Google dengan koneksi aman. Tapi kamu tidak!

    System Alerts LLC bukan sertifikat root sungguhan dan Anda benar-benar melalui proksi Man-in-the-Middle yang memasukkan iklan ke halaman (dan siapa yang tahu apa lagi). Anda hanya harus mengirim email kepada mereka semua kata sandi Anda, itu akan lebih mudah.

    Peringatan Sistem: Sistem Anda telah disusupi.

    Setelah adware terinstal dan mem-proxy semua lalu lintas Anda, Anda akan mulai melihat iklan yang benar-benar menjengkelkan di semua tempat. Iklan ini ditampilkan di situs yang aman, seperti Google, menggantikan iklan Google yang sebenarnya, atau muncul sebagai sembulan di semua tempat, mengambil alih setiap situs.

    Saya ingin Google saya tanpa tautan malware, terima kasih.

    Sebagian besar adware ini menampilkan tautan "iklan" ke malware langsung. Jadi, sementara adware itu sendiri mungkin merupakan gangguan hukum, mereka mengaktifkan beberapa hal yang sangat, sangat buruk.

    Mereka melakukan ini dengan menginstal sertifikat root palsu mereka ke toko sertifikat Windows dan kemudian memproksi koneksi aman saat menandatangani mereka dengan sertifikat palsu mereka.

    Jika Anda melihat di panel Windows Certificates, Anda dapat melihat semua jenis sertifikat yang benar-benar valid ... tetapi jika PC Anda memiliki beberapa jenis adware yang diinstal, Anda akan melihat hal-hal palsu seperti System Alerts, LLC, atau Superfish, Wajam, atau lusinan palsu lainnya.

    Apakah itu dari perusahaan Payung?

    Bahkan jika Anda telah terinfeksi dan kemudian menghapus badware, sertifikat mungkin masih ada, membuat Anda rentan terhadap peretas lain yang mungkin telah mengekstrak kunci pribadi. Banyak dari penginstal adware tidak menghapus sertifikat ketika Anda mencopotnya.

    Mereka Semua Manusia-di-Tengah-Serangan dan Inilah Cara Mereka Bekerja

    Ini dari serangan langsung nyata oleh peneliti keamanan yang mengagumkan, Rob Graham

    Jika PC Anda memiliki sertifikat root palsu yang dipasang di toko sertifikat, Anda sekarang rentan terhadap serangan Man-in-the-Middle. Artinya adalah jika Anda terhubung ke hotspot publik, atau seseorang mendapatkan akses ke jaringan Anda, atau mengelola untuk meretas sesuatu di hulu dari Anda, mereka dapat mengganti situs yang sah dengan situs palsu. Ini mungkin terdengar tidak masuk akal, tetapi peretas telah dapat menggunakan pembajakan DNS di beberapa situs terbesar di web untuk membajak pengguna ke situs palsu.

    Setelah Anda dibajak, mereka dapat membaca setiap hal yang Anda kirimkan ke situs pribadi - kata sandi, informasi pribadi, informasi kesehatan, email, nomor jaminan sosial, informasi perbankan, dll. Dan Anda tidak akan pernah tahu karena browser Anda akan memberi tahu Anda bahwa koneksi Anda aman.

    Ini berfungsi karena enkripsi kunci publik memerlukan kunci publik dan kunci pribadi. Kunci publik dipasang di toko sertifikat, dan kunci pribadi hanya boleh diketahui oleh situs web yang Anda kunjungi. Tetapi ketika penyerang dapat membajak sertifikat root Anda dan memegang kunci publik dan pribadi, mereka dapat melakukan apa saja yang mereka inginkan.

    Dalam kasus Superfish, mereka menggunakan kunci pribadi yang sama pada setiap komputer yang memasang Superfish, dan dalam beberapa jam, peneliti keamanan dapat mengekstrak kunci pribadi dan membuat situs web untuk menguji apakah Anda rentan, dan membuktikan bahwa Anda dapat dibajak. Untuk Wajam dan Geniusbox, kuncinya berbeda, tetapi Content Explorer dan beberapa adware lainnya juga menggunakan kunci yang sama di mana-mana, yang berarti masalah ini tidak unik untuk Superfish.

    Ini Akan Lebih Buruk: Sebagian Besar Crap Ini Menonaktifkan Validasi HTTPS Sepenuhnya

    Baru kemarin, peneliti keamanan menemukan masalah yang lebih besar: Semua proksi HTTPS ini menonaktifkan semua validasi sambil membuatnya tampak seperti semuanya baik-baik saja.

    Itu berarti Anda dapat mengunjungi situs web HTTPS yang memiliki sertifikat yang benar-benar tidak valid, dan adware ini akan memberi tahu Anda bahwa situs tersebut baik-baik saja. Kami menguji adware yang kami sebutkan sebelumnya dan semuanya menonaktifkan validasi HTTPS sepenuhnya, jadi tidak masalah apakah kunci privat itu unik atau tidak. Sangat buruk!

    Semua adware ini benar-benar merusak pengecekan sertifikat.

    Siapa pun yang memasang adware rentan terhadap segala jenis serangan, dan dalam banyak kasus terus rentan bahkan ketika adware dihapus.

    Anda dapat memeriksa apakah Anda rentan terhadap Superfish, Komodia, atau pengecekan sertifikat tidak valid menggunakan situs uji yang dibuat oleh peneliti keamanan, tetapi seperti yang telah kami tunjukkan, ada lebih banyak adware di luar sana yang melakukan hal yang sama, dan dari penelitian kami , semuanya akan terus menjadi lebih buruk.

    Lindungi Diri Anda: Periksa Panel Sertifikat dan Hapus Entri Buruk

    Jika Anda khawatir, Anda harus memeriksa toko sertifikat Anda untuk memastikan bahwa Anda tidak memiliki sertifikat samar yang diinstal yang kemudian dapat diaktifkan oleh server proxy seseorang. Ini bisa sedikit rumit, karena ada banyak barang di sana, dan sebagian besar seharusnya ada di sana. Kami juga tidak memiliki daftar yang baik tentang apa yang seharusnya dan tidak seharusnya ada di sana.

    Gunakan WIN + R untuk menarik dialog Run, dan kemudian ketik "mmc" untuk menarik jendela Konsol Manajemen Microsoft. Kemudian gunakan File -> Tambah / Hapus Snap-in dan pilih Sertifikat dari daftar di sebelah kiri, dan kemudian tambahkan ke sisi kanan. Pastikan untuk memilih akun Komputer pada dialog berikutnya, dan kemudian klik sisanya.

    Anda akan ingin pergi ke Otoritas Sertifikasi Root Tepercaya dan mencari entri yang benar-benar samar seperti ini (atau yang serupa dengan ini)

    • Sendori
    • Purelead
    • Tab Rocket
    • Ikan Super
    • Lihat ini
    • Pando
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler adalah alat pengembang yang sah tetapi malware telah membajak sertifikat mereka)
    • Peringatan Sistem, LLC
    • CE_UmbrellaCert

    Klik kanan dan Hapus salah satu entri yang Anda temukan. Jika Anda melihat sesuatu yang salah saat Anda menguji Google di browser Anda, pastikan untuk menghapusnya juga. Berhati-hatilah, karena jika Anda menghapus hal-hal yang salah di sini, Anda akan merusak Windows.

    Kami berharap Microsoft merilis sesuatu untuk memeriksa sertifikat root Anda dan memastikan bahwa hanya yang bagus yang ada. Secara teoritis Anda dapat menggunakan daftar ini dari Microsoft tentang sertifikat yang diperlukan oleh Windows, dan kemudian memperbarui ke sertifikat root terbaru, tetapi itu benar-benar belum teruji pada saat ini, dan kami benar-benar tidak merekomendasikannya sampai seseorang menguji ini..

    Selanjutnya, Anda harus membuka peramban web dan menemukan sertifikat yang mungkin di-cache di sana. Untuk Google Chrome, buka Pengaturan, Pengaturan Lanjut, dan kemudian Kelola sertifikat. Di bawah Pribadi, Anda dapat dengan mudah mengklik tombol Hapus pada sertifikat yang salah ...

    Tetapi ketika Anda pergi ke Otoritas Sertifikasi Root Tepercaya, Anda harus mengklik Advanced dan kemudian hapus centang semua yang Anda lihat untuk berhenti memberikan izin untuk sertifikat itu ...

    Tapi itu gila.

    Buka bagian bawah jendela Pengaturan Lanjutan dan klik Setel ulang pengaturan untuk sepenuhnya mengatur ulang Chrome ke default. Lakukan hal yang sama untuk browser apa pun yang Anda gunakan, atau hapus instalan sepenuhnya, menghapus semua pengaturan, dan kemudian instal lagi.

    Jika komputer Anda terpengaruh, Anda mungkin lebih baik melakukan instalasi Windows yang benar-benar bersih. Pastikan untuk membuat cadangan dokumen dan gambar Anda dan semua itu.

    Jadi, Bagaimana Anda Melindungi Diri Anda??

    Hampir tidak mungkin untuk sepenuhnya melindungi diri Anda sendiri, tetapi berikut adalah beberapa pedoman yang masuk akal untuk membantu Anda:

    • Periksa situs uji validasi Superfish / Komodia / Sertifikasi.
    • Aktifkan Click-To-Play untuk plugin di browser Anda, yang akan membantu melindungi Anda dari semua Flash hari-nol dan lubang keamanan plugin lainnya ada.
    • Berhati-hatilah dengan apa yang Anda unduh dan coba gunakan Ninite ketika Anda benar-benar harus.
    • Perhatikan apa yang Anda klik setiap kali Anda mengklik.
    • Pertimbangkan untuk menggunakan Enhanced Mitigation Experience Toolkit (EMET) Microsoft atau Malwarebytes Anti-Exploit untuk melindungi browser Anda dan aplikasi penting lainnya dari celah keamanan dan serangan zero-day.
    • Pastikan semua perangkat lunak, plugin, dan anti-virus Anda tetap diperbarui, dan itu termasuk Pembaruan Windows juga.

    Tapi itu pekerjaan yang sangat berat untuk hanya ingin menjelajahi web tanpa dibajak. Ini seperti berurusan dengan TSA.

    Ekosistem Windows adalah iring-iringan crapware. Dan sekarang keamanan mendasar dari Internet rusak untuk pengguna Windows. Microsoft perlu memperbaikinya.