Download.com 및 기타 번들 Superfish-Style HTTPS 속보 애드웨어
Windows 사용자가되는 것은 무섭습니다. 레노보는 HTTPS 하이재킹 슈퍼 피쉬 애드웨어 (superfish adware), 코모도 (Clouds)와 함께 PrivDog라고 불리는 보안 구멍을 묶어 놓았으며, LavaSoft와 같은 수십 개의 다른 앱도 똑같이하고있다. 정말 나쁘지 만 암호화 된 웹 세션이 CNET 다운로드 나 프리웨어 사이트로 넘어 가기를 원하면 모두 HTTPS 깨는 애드웨어를 번들로 묶어두기 때문에.
수퍼 피쉬 실패는 연구원들이 Lenovo 컴퓨터에 번들 된 Superfish가 Windows에 가짜 루트 인증서를 설치하여 모든 HTTPS 브라우징을 본질적으로 가로채는 것을 발견했을 때 시작되었습니다. 그렇지 않으면 인증서가 항상 유효하게 보이도록했습니다. 어떤 스크립트 해커가 같은 것을 성취 할 수있는 불안한 방법.
그런 다음 브라우저에 프록시를 설치하고 모든 브라우저를 통해 광고를 삽입 할 수 있도록합니다. 심지어 은행이나 건강 보험 사이트 또는 안전해야하는 장소에 연결할 때에도 마찬가지입니다. 그리고 그들은 당신에게 광고를 보여주기 위해 Windows 암호화를 위반했기 때문에 결코 알지 못할 것입니다..
그러나 슬프고 슬픈 사실은 그들이이 일을하는 유일한 사람이 아니라는 것입니다. - Wajam, Geniusbox, Content Explorer와 같은 애드웨어는 모두 똑같은 일을합니다., 자체 인증서를 설치하고 모든 브라우징 (HTTPS 암호화 된 브라우징 세션 포함)이 프록시 서버를 통과하도록합니다. CNET 다운로드에 상위 10 개 앱 중 2 개를 설치하면이 넌센스에 감염 될 수 있습니다..
결론은 더 이상 브라우저의 주소 표시 줄에있는 녹색 잠금 아이콘을 신뢰할 수 없다는 것입니다. 그리고 그것은 무서운, 무서운 일입니다..
HTTPS- 하이재킹 애드웨어의 작동 방식 및 왜 그렇게 나쁜지
음, 전 가서 탭을 닫아야합니다. 음?이전에 보았 듯이, CNET 다운로드를 신뢰하는 거대한 거대한 실수를 범한다면, 이미이 유형의 애드웨어에 감염되었을 수 있습니다. CNET (KMPlayer와 YTD)에서 상위 10 가지 다운로드 중 2 가지가 두 가지 유형의 HTTPS 하이재킹 애드웨어, 우리의 연구에서 우리는 대부분의 다른 프리웨어 사이트가 똑같은 일을한다는 것을 발견했습니다..
노트 : 설치 관리자는 너무 까다 롭고 복잡하여 우리가 누구인지 확실하지 않습니다. 기술적으로 "번들링 (bundling)"을하고 있지만 CNET은이 앱을 홈페이지에서 홍보하기 때문에 실제로 의미 체계의 문제입니다. 사람들이 나쁜 것을 다운로드하도록 권하는 경우, 당신은 똑같이 잘못되었습니다. 우리는 또한이 많은 애드웨어 회사들이 비밀리에 다른 회사 이름을 사용하는 동일한 사람들이라는 사실을 발견했습니다.
혼자 CNET Downloads의 상위 10 개 목록에서 다운로드 한 숫자를 기반으로 매월 백만명의 사람들이 암호화 된 웹 세션을 자신의 은행이나 전자 메일, 또는 보안되어야하는 항목에 하이재킹하는 애드웨어로 감염됩니다.
KMPlayer를 설치하는 실수를하고 다른 모든 Crapware를 무시하면이 창이 나타납니다. 실수로 수락을 클릭하면 (또는 잘못된 키를 치는 경우) 시스템이 pwn됩니다..
다운로드 사이트는 자신을 부끄럽게 여겨야합니다..좋아하는 검색 엔진의 다운로드 광고와 같이 더 추상적 인 소스에서 무언가를 다운로드하면 결국 좋지 않은 전체 목록이 표시됩니다. 이제는 많은 사람들이 HTTPS 인증서 유효성 검사를 완전히 중단하여 완전히 취약한 상태로 남을 것입니다..
Lavasoft Web Companion도 HTTPS 암호화를 중단하지만이 번들은 애드웨어도 설치했습니다..일단 이러한 것들 중 하나에 감염되면, 가장 먼저 일어나는 일은 시스템 프록시가 컴퓨터에 설치되는 로컬 프록시를 통해 실행되도록 설정하는 것입니다. 아래 "보안"항목에 특히주의하십시오. 이 경우 Wajam Internet "Enhancer"에서 가져 왔지만 Superfish 나 Geniusbox 또는 우리가 찾은 다른 것들도 될 수 있습니다. 모두 같은 방식으로 작동합니다..
Lenovo가 Superfish를 설명하기 위해 "강화"라는 단어를 사용한 것은 아이러니합니다..안전해야하는 사이트로 이동하면 녹색 자물쇠 아이콘이 표시되며 모든 것이 정상적으로 보입니다. 자물쇠를 클릭하여 세부 정보를 볼 수도 있습니다. 그러면 모든 것이 잘된 것처럼 보입니다. 안전한 연결을 사용하고 있으며 Google 크롬이 안전한 연결로 Google에 연결되었다고보고합니다.. 하지만 너는 그렇지 않다.!
시스템 알리미 LLC는 실제 루트 인증서가 아니며 페이지에 광고를 삽입하는 Man-in-the-Middle 프록시를 실제로 사용하고 있습니다. 당신은 그 (것)들에게 당신의 암호 전부를 이메일을 보내야한다, 더 쉬울.
시스템 경고 : 시스템이 손상되었습니다..애드웨어가 설치되고 모든 트래픽을 프록시하면 모든 곳에서 실제로 불쾌한 광고가 표시되기 시작합니다. 이러한 광고는 Google과 같은 안전한 사이트에 게재되며 실제 Google 광고를 대체하거나 사이트 전체에 팝업으로 나타나 모든 사이트를 대신합니다..
내 Google에 악성 코드 링크가 필요하지 않습니다. 감사합니다..이 애드웨어의 대부분은 철저한 악성 코드에 대한 "광고"링크를 보여줍니다. 따라서 애드웨어 자체가 법적으로 불편을 겪을 수도 있지만 실제로는 정말 나쁜 것들을 사용할 수 있습니다..
그들은 가짜 루트 인증서를 Windows 인증서 저장소에 설치 한 다음 가짜 인증서로 서명하는 동안 보안 연결을 프록시 처리하여이 작업을 수행합니다.
Windows 인증서 패널을 보면 모든 종류의 유효한 인증서를 볼 수 있지만 PC에 어떤 유형의 애드웨어가 설치되어 있다면 시스템 경고, LLC 또는 Superfish, Wajam과 같은 가짜 항목을 보게됩니다. 수십 개의 다른 가짜.
우산 회사에서 나온 거니??감염되어 Badware를 제거한 경우에도 인증서가 계속있을 수 있으므로 개인 키를 추출한 다른 해커에게 취약해질 수 있습니다. 대부분의 애드웨어 설치 프로그램은 인증서를 제거 할 때 인증서를 제거하지 않습니다..
그들은 모든 Man-in-the-Middle 공격이며, 어떻게 작동하는지 알려줍니다.
이것은 굉장한 보안 연구원 인 Rob Graham의 실제 라이브 공격에서 온 것입니다.PC에 가짜 루트 인증서가 인증서 저장소에 설치되어 있으면 이제 Man-in-the-Middle 공격에 취약합니다. 즉, 공용 핫스팟에 연결하거나 다른 사람이 네트워크에 액세스하거나 사용자의 업스트림을 해킹 할 수있는 경우 합법적 인 사이트를 가짜 사이트로 대체 할 수 있습니다. 이것은 상당히 들리 겠지만 해커들은 웹상의 가장 큰 사이트 중 일부에서 DNS 도용을 사용하여 사용자를 가짜 사이트로 공중 납치 할 수있었습니다.
일단 도용 당하면 암호, 개인 정보, 건강 정보, 전자 메일, 사회 보장 번호, 은행 정보 등 개인 사이트에 제출하는 모든 내용을 읽을 수 있습니다. 그러면 브라우저에서 알려줄 것이기 때문에 결코 알 수 없습니다 당신의 연결이 안전하다는 걸.
공개 키 암호화에는 공개 키와 개인 키가 모두 필요하므로이 방법이 효과적입니다. 공개 키는 인증서 저장소에 설치되며 개인 키는 방문중인 웹 사이트에서만 알려야합니다. 그러나 공격자가 루트 인증서를 공중 납치하여 공개 키와 개인 키를 모두 보유 할 수 있으면 원하는 모든 작업을 수행 할 수 있습니다.
Superfish의 경우, Superfish가 설치된 모든 컴퓨터에서 동일한 개인 키를 사용했으며 보안 연구원은 몇 시간 내에 개인 키를 추출하고 취약성 여부를 테스트 할 수있는 웹 사이트를 만들 수있었습니다. 납치 당한다. Wajam과 Geniusbox의 경우 키가 다르지만 Content Explorer와 일부 다른 애드웨어는 모든 곳에서 동일한 키를 사용하므로이 문제는 Superfish만의 문제는 아닙니다..
나 빠지게 :이 쓰레기의 대부분은 HTTPS 유효성 검사를 완전히 비활성화합니다.
어제 어제 보안 연구원은 더 큰 문제를 발견했습니다. 모든 HTTPS 프록시는 모든 유효성 검사를 비활성화하고 모든 것이 잘된 것처럼 보이게 만듭니다.
즉, 완전히 유효하지 않은 인증서가있는 HTTPS 웹 사이트로 이동할 수 있으며,이 애드웨어는 사이트가 정상적으로 작동한다고 알려줍니다. 앞에서 언급 한 애드웨어를 테스트 한 결과 HTTPS 유효성 검사를 완전히 비활성화 했으므로 개인 키가 고유한지 여부는 중요하지 않습니다. 놀라 울 정도로 나쁜!
이 애드웨어는 모두 인증서 검사를 완전히 중단합니다..애드웨어를 설치 한 사람은 모든 종류의 공격에 취약하며 많은 경우 애드웨어가 제거 되더라도 취약한 상태가 계속됩니다.
Superfish, Komodia에 취약한 지 또는 보안 연구원이 만든 테스트 사이트를 사용하여 인증서 검사가 유효하지 않은지 확인할 수 있습니다. 그러나 이미 입증했듯이 같은 일을하는 많은 애드웨어가 있습니다. , 일이 계속 악화 될 것입니다..
스스로 보호 : 인증서 패널 확인 및 잘못된 항목 삭제
걱정이된다면 인증서 저장소를 점검하여 나중에 누군가의 프록시 서버에 의해 활성화 될 수있는 스케치 된 인증서가 설치되어 있지 않은지 확인해야합니다. 이것은 약간 복잡 할 수 있습니다. 왜냐하면 거기에는 많은 것들이 있고, 대부분은 거기에 있어야하기 때문입니다. 우리는 또한해야 할 것과하지 말아야 할 것의 좋은 목록을 가지고 있지 않습니다..
WIN + R을 사용하여 실행 대화 상자를 표시 한 다음 "mmc"를 입력하여 Microsoft Management Console 창을 엽니 다. 그런 다음 파일 -> 스냅인 추가 / 제거를 사용하고 왼쪽의 목록에서 인증서를 선택한 다음 오른쪽에 추가하십시오. 다음 대화 상자에서 컴퓨터 계정을 선택하고 나머지는 클릭하십시오..
당신은 신뢰할 수있는 루트 인증 기관 (Trusted Root Certification Authorities)에 가보고 이들 중 하나 (또는 이와 비슷한 것)와 같은 실제적인 항목을 찾으려고 할 것입니다.
- 센 도리
- 퓨어 리더
- 로켓 탭
- 수퍼 피쉬
- Lookthisup
- 판도
- 와잠
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root (Fiddler는 합법적 인 개발자 도구이지만 맬웨어는 인증서를 납치했습니다)
- 시스템 경고, LLC
- CE_UmbrellaCert
찾으려는 항목을 마우스 오른쪽 단추로 클릭하고 삭제하십시오. 브라우저에서 Google을 테스트했을 때 잘못된 것을 발견했다면 해당 브라우저도 삭제해야합니다. 조심하십시오. 여기서 잘못된 것을 삭제하면 Windows를 깨뜨릴 수 있습니다..
Microsoft는 귀하의 루트 인증서를 확인하고 좋은 인증서 만 있는지 확인하기를 바랍니다. 이론적으로 Windows에서 요구하는 인증서를 Microsoft에서이 목록을 사용하여 최신 루트 인증서로 업데이트 할 수는 있지만이 시점에서는 완전히 테스트되지 않았으므로 누군가 테스트 할 때까지는 실제로 권장하지 않습니다..
다음으로, 당신은 당신의 웹 브라우저를 열고 아마 거기에 캐시 된 인증서를 찾아야 할 것입니다. Chrome의 경우 설정, 고급 설정, 인증서 관리로 이동합니다. Personal (개인) 아래에서 나쁜 인증서의 Remove (제거) 버튼을 쉽게 클릭 할 수 있습니다 ...
그러나 신뢰할 수있는 루트 인증 기관으로 이동하면 고급을 클릭 한 다음 표시되는 모든 항목의 선택을 취소하여 해당 인증서에 대한 사용 권한을 중지해야합니다.
하지만 그건 광기 다..
고급 설정 창 하단으로 이동하여 설정 초기화를 클릭하여 Chrome을 기본값으로 완전히 재설정합니다. 사용중인 다른 브라우저에서 동일하게 수행하거나 완전히 제거하고 모든 설정을 삭제 한 다음 다시 설치하십시오..
컴퓨터가 영향을받은 경우 Windows를 완전히 새로 설치하는 것이 좋습니다. 문서 및 사진과 그 모든 것을 백업하도록하십시오..
그래서 어떻게 자신을 보호합니까??
자신을 완전히 보호하는 것은 거의 불가능하지만 다음은 몇 가지 상식적인 지침입니다.
- Superfish / Komodia / Certification 인증 시험 사이트를 확인하십시오..
- 브라우저의 플러그인에 클릭 재생을 사용하면 제로 데이 플래시 및 기타 플러그인 보안 구멍을 막을 수 있습니다..
- 절대적으로 필요 할 때 Ninite를 다운로드하여 사용하려고 할 때 정말로주의하십시오..
- 언제든지 클릭 할 때주의하십시오..
- EMET (Enhanced Mitigation Experience Toolkit) 또는 Malwarebytes Anti-Exploit을 사용하여 브라우저 및 기타 중요 응용 프로그램을 보안 허점 및 제로 데이 공격으로부터 보호하십시오.
- 모든 소프트웨어, 플러그인 및 바이러스 백신이 업데이트되었는지 확인하고 Windows 업데이트도 포함해야합니다..
그러나 그것은 납치 당하지 않고 웹을 탐색하고자하는 엄청난 노력의 일입니다. 그것은 TSA를 다루는 것과 같습니다..
Windows 에코 시스템은 멋진 랩톱입니다. 이제는 Windows 사용자들에게 인터넷의 근본적인 보안이 깨졌습니다. Microsoft는이 문제를 해결해야합니다..