Sự thất bại của Superfish bắt đầu khi các nhà nghiên cứu nhận thấy rằng Superfish, đi kèm trên các máy tính Lenovo, đã cài đặt chứng chỉ gốc giả vào Windows, về cơ bản chiếm đoạt tất cả duyệt HTTPS để các chứng chỉ luôn hợp lệ ngay cả khi chúng không hoạt động. cách không an toàn mà bất kỳ hacker kiddie script nào cũng có thể thực hiện được điều tương tự.
Và sau đó, họ đang cài đặt proxy vào trình duyệt của bạn và buộc tất cả các trình duyệt của bạn chạy qua trình duyệt để họ có thể chèn quảng cáo. Đúng vậy, ngay cả khi bạn kết nối với ngân hàng hoặc trang web bảo hiểm y tế của bạn hoặc bất kỳ nơi nào cần được bảo mật. Và bạn sẽ không bao giờ biết, bởi vì họ đã phá vỡ mã hóa Windows để hiển thị quảng cáo cho bạn.
Nhưng thực tế đáng buồn, buồn là họ không phải là người duy nhất làm điều này - Phần mềm quảng cáo như Wajam, Geniusbox, Trình khám phá nội dung và các phần mềm khác đều đang thực hiện chính xác điều tương tự, cài đặt chứng chỉ của riêng họ và buộc tất cả các trình duyệt của bạn (bao gồm cả các phiên duyệt web được mã hóa HTTPS) để đi qua máy chủ proxy của họ. Và bạn có thể bị lây nhiễm với điều này vô nghĩa chỉ bằng cách cài đặt hai trong số 10 ứng dụng hàng đầu trên Tải xuống CNET.
Điểm mấu chốt là bạn không còn có thể tin tưởng rằng biểu tượng khóa màu xanh lá cây trong thanh địa chỉ của trình duyệt của bạn nữa. Và đó là một điều đáng sợ, đáng sợ.
Cách thức hoạt động của Phần mềm quảng cáo chiếm đoạt HTTPS và tại sao nó lại quá tệ
Như chúng tôi đã trình bày trước đây, nếu bạn mắc phải sai lầm khổng lồ khổng lồ khi tin tưởng vào các bản tải xuống của CNET, bạn có thể đã bị nhiễm loại phần mềm quảng cáo này. Hai trong số mười lượt tải xuống hàng đầu trên CNET (KMPlayer và YTD) đang gộp hai loại phần mềm quảng cáo chiếm đoạt HTTPS khác nhauvà trong nghiên cứu của chúng tôi, chúng tôi thấy rằng hầu hết các trang web phần mềm miễn phí khác đang làm điều tương tự.
Chú thích:trình cài đặt quá phức tạp và phức tạp đến nỗi chúng tôi không chắc chắn ai là kỹ thuật thực hiện "gói", nhưng CNET đang quảng bá các ứng dụng này trên trang chủ của họ, vì vậy nó thực sự là vấn đề ngữ nghĩa. Nếu bạn đang đề xuất rằng mọi người tải xuống nội dung nào đó xấu, bạn đều có lỗi. Chúng tôi cũng nhận thấy rằng nhiều công ty phần mềm quảng cáo này bí mật là những người giống nhau sử dụng tên công ty khác nhau.
Dựa trên số tải xuống từ danh sách 10 hàng đầu trên Bản tải xuống của CNET, hàng triệu người bị nhiễm mỗi tháng với phần mềm quảng cáo đang xâm nhập các phiên web được mã hóa của họ vào ngân hàng hoặc email hoặc bất kỳ thứ gì cần được bảo mật.
Nếu bạn mắc lỗi khi cài đặt KMPlayer và bạn quản lý bỏ qua tất cả các crapware khác, bạn sẽ thấy cửa sổ này. Và nếu bạn vô tình nhấp vào Chấp nhận (hoặc nhấn phím sai), hệ thống của bạn sẽ bị treo.
Khi bạn truy cập một trang web an toàn, bạn sẽ thấy biểu tượng khóa màu lục và mọi thứ sẽ trông hoàn toàn bình thường. Bạn thậm chí có thể bấm vào khóa để xem chi tiết, và nó sẽ xuất hiện rằng tất cả mọi thứ là tốt. Bạn đang sử dụng kết nối an toàn và thậm chí Google Chrome sẽ báo cáo rằng bạn đã kết nối với Google bằng kết nối an toàn. Nhưng bạn thì không!
Cảnh báo hệ thống LLC không phải là chứng chỉ gốc thực sự và bạn thực sự đang trải qua một proxy người dùng trong trung gian đang chèn quảng cáo vào các trang (và ai biết điều gì khác). Bạn chỉ nên gửi email cho họ tất cả các mật khẩu của bạn, nó sẽ dễ dàng hơn.
Họ thực hiện việc này bằng cách cài đặt chứng chỉ gốc giả của họ vào kho lưu trữ chứng chỉ Windows và sau đó ủy quyền các kết nối an toàn trong khi ký chúng với chứng chỉ giả của họ.
Nếu bạn nhìn vào bảng Windows Certificates, bạn có thể thấy tất cả các loại chứng chỉ hoàn toàn hợp lệ… nhưng nếu PC của bạn có một số loại phần mềm quảng cáo được cài đặt, bạn sẽ thấy những thứ giả mạo như System Alerts, LLC, hoặc Superfish, Wajam, hoặc hàng chục loại hàng giả khác.
Họ là tất cả các cuộc tấn công của người trung gian và dưới đây là cách họ làm việc
Khi bạn bị tấn công, họ có thể đọc mọi thứ mà bạn gửi tới trang web riêng tư - mật khẩu, thông tin cá nhân, thông tin y tế, email, số an sinh xã hội, thông tin ngân hàng, v.v. Và bạn sẽ không bao giờ biết vì trình duyệt của bạn sẽ cho bạn biết kết nối của bạn an toàn.
Điều này hoạt động vì mã hóa khóa công khai yêu cầu cả khóa công cộng lẫn khóa riêng. Khóa công khai được cài đặt trong kho chứng chỉ và khóa riêng tư chỉ được biết bởi trang web bạn đang truy cập. Nhưng khi kẻ tấn công có thể chiếm đoạt chứng chỉ gốc của bạn và giữ cả khóa công khai và riêng tư, họ có thể làm bất cứ điều gì họ muốn.
Trong trường hợp của Superfish, họ đã sử dụng cùng một khóa riêng trên mỗi máy tính có cài đặt Superfish và trong vòng vài giờ, các nhà nghiên cứu bảo mật có thể trích xuất khóa riêng và tạo trang web để kiểm tra xem bạn có dễ bị tổn thương hay không bị tấn công. Đối với Wajam và Geniusbox, các phím khác nhau, nhưng Content Explorer và một số phần mềm quảng cáo khác cũng sử dụng cùng một khóa ở mọi nơi, có nghĩa là vấn đề này không phải là duy nhất đối với Superfish.
Nó trở nên tồi tệ hơn: Hầu hết các Crap này vô hiệu hóa HTTPS Validation Entirely
Mới hôm qua, các nhà nghiên cứu bảo mật đã phát hiện ra một vấn đề lớn hơn nữa: Tất cả các proxy HTTPS đều vô hiệu hóa tất cả các xác thực trong khi làm cho nó trông giống như mọi thứ đều ổn.
Điều đó có nghĩa là bạn có thể truy cập một trang web HTTPS có chứng chỉ hoàn toàn không hợp lệ và phần mềm quảng cáo này sẽ cho bạn biết rằng trang web chỉ là tốt. Chúng tôi đã thử nghiệm phần mềm quảng cáo mà chúng tôi đã đề cập trước đó và tất cả đều tắt hoàn toàn xác thực HTTPS, do đó, việc khóa riêng tư có độc đáo hay không không quan trọng. Shockingly xấu!
Bạn có thể kiểm tra xem bạn có dễ bị Superfish, Komodia hoặc kiểm tra chứng chỉ không hợp lệ hay không bằng cách sử dụng trang web thử nghiệm được tạo ra bởi các nhà nghiên cứu bảo mật, nhưng như chúng tôi đã trình bày, có nhiều phần mềm quảng cáo hơn làm điều tương tự và từ nghiên cứu của chúng tôi, mọi thứ sẽ tiếp tục tồi tệ hơn.
Tự bảo vệ: Kiểm tra Bảng chứng chỉ và xóa mục nhập không hợp lệ
Nếu bạn lo lắng, bạn nên kiểm tra cửa hàng chứng chỉ để đảm bảo rằng bạn không có bất kỳ chứng chỉ sơ sài nào được cài đặt mà sau này có thể được kích hoạt bởi máy chủ proxy của ai đó. Điều này có thể hơi phức tạp, bởi vì có rất nhiều thứ trong đó, và hầu hết nó được cho là ở đó. Chúng tôi cũng không có danh sách tốt về những gì nên và không nên ở đó.
Sử dụng WIN + R để kéo hộp thoại Run, và sau đó gõ “mmc” để kéo lên một cửa sổ Microsoft Management Console. Sau đó sử dụng File -> Add / Remove Snap-in và chọn Certificates từ danh sách bên trái, sau đó thêm nó vào bên phải. Đảm bảo chọn Tài khoản máy tính trên hộp thoại tiếp theo, sau đó nhấp qua phần còn lại.
- Sendori
- Purelead
- Tab tên lửa
- Siêu Cá
- Lookthisup
- Pando
- Wajam
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler là một công cụ phát triển hợp pháp nhưng phần mềm độc hại đã chiếm đoạt chứng chỉ của họ)
- Cảnh báo hệ thống, LLC
- CE_UmbrellaCert
Nhấp chuột phải và Xóa bất kỳ mục nhập nào bạn tìm thấy. Nếu bạn thấy điều gì đó không chính xác khi bạn đã thử nghiệm Google trong trình duyệt của mình, hãy đảm bảo xóa điều đó. Chỉ cần cẩn thận, bởi vì nếu bạn xóa những thứ sai ở đây, bạn sẽ phá vỡ Windows.
Tiếp theo, bạn sẽ cần mở trình duyệt web của mình và tìm các chứng chỉ có thể được lưu trong bộ nhớ cache tại đó. Đối với Google Chrome, chuyển đến Cài đặt, Cài đặt nâng cao và sau đó Quản lý chứng chỉ. Trong phần Cá nhân, bạn có thể dễ dàng nhấp vào nút Xóa trên bất kỳ chứng chỉ xấu nào…
Nhưng đó là sự điên rồ.
Đi tới cuối cửa sổ Cài đặt nâng cao và nhấp vào Đặt lại cài đặt để đặt lại hoàn toàn Chrome về mặc định. Làm tương tự cho bất kỳ trình duyệt nào khác bạn đang sử dụng hoặc gỡ cài đặt hoàn toàn, xóa tất cả cài đặt và sau đó cài đặt lại.
Nếu máy tính của bạn bị ảnh hưởng, có lẽ bạn nên thực hiện cài đặt Windows hoàn toàn mới. Chỉ cần đảm bảo sao lưu tài liệu và hình ảnh của bạn và tất cả điều đó.
Vậy bạn tự bảo vệ mình như thế nào?
Bạn gần như không thể tự bảo vệ mình hoàn toàn, nhưng dưới đây là một số nguyên tắc phổ biến để giúp bạn:
- Kiểm tra trang web kiểm tra xác nhận Superfish / Komodia / Certification.
- Kích hoạt tính năng Nhấp để phát cho các plugin trong trình duyệt của bạn, điều này sẽ giúp bảo vệ bạn khỏi tất cả các lỗ hổng không có trong Flash và các lỗ hổng bảo mật plugin khác trong ngày đó.
- Hãy thực sự cẩn thận những gì bạn tải về và cố gắng sử dụng Ninite khi bạn hoàn toàn phải.
- Chú ý đến những gì bạn đang nhấp vào bất kỳ lúc nào bạn nhấp vào.
- Cân nhắc sử dụng Bộ công cụ giảm thiểu kinh nghiệm nâng cao của Microsoft (EMET) hoặc Malwarebytes Anti-Exploit để bảo vệ trình duyệt của bạn và các ứng dụng quan trọng khác khỏi lỗ hổng bảo mật và các cuộc tấn công zero-day.
- Đảm bảo tất cả phần mềm, plugin và phần mềm diệt vi-rút của bạn luôn được cập nhật và bao gồm cả Windows Updates.
Nhưng đó là một công việc khủng khiếp vì chỉ muốn duyệt web mà không bị tấn công. Nó giống như đối phó với TSA.
Hệ sinh thái Windows là một kẽ hở của crapware. Và bây giờ bảo mật cơ bản của Internet bị hỏng cho người dùng Windows. Microsoft cần sửa lỗi này.