Page d'accueil » comment » Download.com and Others Bundle un adware génial pour Superfish-Style HTTPS

    Download.com and Others Bundle un adware génial pour Superfish-Style HTTPS

    Être un utilisateur Windows est une période effrayante. Lenovo regroupait le logiciel de publicité Superfish piratant HTTPS, Comodo est livré avec une faille de sécurité encore plus grave appelée PrivDog, et des dizaines d'autres applications telles que LavaSoft font de même. C’est vraiment dommage, mais si vous souhaitez que vos sessions Web cryptées soient détournées, rendez-vous sur CNET Downloads ou sur n’importe quel site de freeware, car elles regroupent désormais des logiciels publicitaires révolutionnaires en HTTPS..

    Le fiasco de Superfish a commencé lorsque les chercheurs ont remarqué que Superfish, fourni avec des ordinateurs Lenovo, installait un faux certificat racine dans Windows qui détournait essentiellement toute navigation HTTPS afin que les certificats aient toujours l'air valables, même s'ils ne l'étaient pas. manière peu sûre que tout pirate script kiddie puisse accomplir la même chose.

    Ensuite, ils installent un proxy dans votre navigateur et forcent l’ensemble de votre navigation afin de pouvoir insérer des publicités. C’est vrai, même lorsque vous vous connectez à votre banque, à votre site d’assurance maladie ou à tout autre endroit qui devrait être sécurisé. Et vous ne le saurez jamais, car ils ont cassé le chiffrement Windows pour vous montrer des annonces..

    Mais la triste réalité est qu’ils ne sont pas les seuls à le faire. - des logiciels publicitaires tels que Wajam, Geniusbox, Content Explorer et autres font exactement la même chose, installer leurs propres certificats et forcer toute votre navigation (y compris les sessions de navigation cryptées HTTPS) à passer par leur serveur proxy. Et vous pouvez être infecté par ce non-sens simplement en installant deux des 10 meilleures applications sur Téléchargements CNET.

    En bout de ligne, vous ne pouvez plus faire confiance à cette icône de verrou vert dans la barre d'adresse de votre navigateur. Et c'est une chose effrayante.

    Comment le logiciel de publicité Adware HTTPS fonctionne et pourquoi il est si mauvais

    Hmmm, je vais avoir besoin que tu partes et ferme cet onglet. Mmkay?

    Comme nous l'avons montré précédemment, si vous commettez une énorme erreur gigantesque de faire confiance à CNET Downloads, vous pourriez déjà être infecté par ce type de logiciel publicitaire.. Deux des dix téléchargements les plus populaires sur CNET (KMPlayer et YTD) regroupent deux types différents d’adware de piratage HTTPS., et dans notre recherche, nous avons constaté que la plupart des autres sites de logiciels gratuits font la même chose.

    Remarque: les installateurs sont si délicats et compliqués que nous ne savons pas qui est techniquement faire le «groupement», mais CNET fait la promotion de ces applications sur leur page d'accueil, donc c'est vraiment une question de sémantique. Si vous recommandez aux personnes de télécharger quelque chose de mauvais, vous êtes également responsable. Nous avons également constaté que bon nombre de ces sociétés de logiciel de publicité sont secrètement les mêmes personnes et utilisent des noms de société différents..

    Sur la base des numéros de téléchargement figurant dans la liste des 10 meilleurs numéros de CNET Downloads, un million de personnes sont infectées chaque mois par des logiciels publicitaires qui détournent leurs sessions Web cryptées vers leur banque, leur courrier électronique ou tout autre élément qui devrait être sécurisé..

    Si vous avez commis l’erreur d’installer KMPlayer et que vous parvenez à ignorer tous les autres logiciels crapware, cette fenêtre s’affiche. Et si vous cliquez accidentellement sur Accepter (ou appuyez sur la mauvaise clé), votre système sera connecté..

    Les sites de téléchargement doivent avoir honte d'eux-mêmes.

    Si vous avez fini par télécharger quelque chose à partir d'une source encore plus fragmentaire, telle que les annonces de téléchargement dans votre moteur de recherche préféré, vous verrez une liste complète de choses qui ne sont pas bonnes. Et maintenant, nous savons que beaucoup d’entre eux vont complètement casser la validation des certificats HTTPS, vous laissant complètement vulnérable..

    Lavasoft Web Companion rompt également le cryptage HTTPS, mais cet adware installé en même temps.

    Une fois que vous êtes infecté par l'une de ces choses, la première chose à faire est de configurer votre proxy système pour qu'il s'exécute via un proxy local qu'il installe sur votre ordinateur. Portez une attention particulière à l’article «Sécurisé» ci-dessous. Dans ce cas, il s'agissait de «Enhancer» de Wajam Internet, mais il pourrait s'agir de Superfish ou de Geniusbox, ou de l'un des autres que nous avons trouvés, ils fonctionnent tous de la même manière.

    Il est ironique que Lenovo utilise le mot «améliorer» pour décrire Superfish..

    Lorsque vous allez sur un site qui devrait être sécurisé, vous verrez l'icône de verrou vert et tout aura l'air parfaitement normal. Vous pouvez même cliquer sur le cadenas pour voir les détails et vous verrez que tout va bien. Vous utilisez une connexion sécurisée et même Google Chrome signalera que vous êtes connecté à Google avec une connexion sécurisée.. Mais vous n'êtes pas!

    System Alerts LLC n'est pas un véritable certificat racine et vous passez par un proxy Man-in-the-Middle qui insère des publicités dans des pages (et qui sait quoi d'autre). Vous devriez juste leur envoyer tous vos mots de passe par email, ce serait plus facile.

    Alerte système: votre système a été compromis.

    Une fois que le logiciel publicitaire est installé et met en proxy l'ensemble de votre trafic, vous commencerez à voir des publicités vraiment odieuses partout. Ces annonces s'affichent sur des sites sécurisés, tels que Google, remplaçant les annonces Google réelles, ou apparaissent sous forme de fenêtres contextuelles partout, sur tous les sites..

    Je voudrais mon Google sans liens de logiciels malveillants, merci.

    La plupart de ces logiciels publicitaires affichent des liens "ad" vers des logiciels malveillants purs et simples. Ainsi, bien que les logiciels publicitaires puissent constituer une nuisance juridique, ils permettent certaines choses vraiment très mauvaises..

    Pour ce faire, ils installent leurs faux certificats racine dans le magasin de certificats Windows, puis envoient des proxy aux connexions sécurisées tout en les signant avec leur faux certificat..

    Si vous regardez dans le panneau Certificats de Windows, vous pouvez voir toutes sortes de certificats complètement valides… mais si votre ordinateur est doté d'un type de logiciel de publicité, vous allez voir de fausses choses comme Alertes système, LLC, ou Superfish, Wajam ou des dizaines d'autres faux.

    Est-ce de la société Umbrella?

    Même si vous avez été infecté et que vous avez supprimé le logiciel malveillant, les certificats peuvent toujours être présents, ce qui vous rend vulnérable à d'autres pirates informatiques susceptibles d'avoir extrait les clés privées. De nombreux installateurs d'adware ne suppriment pas les certificats lorsque vous les désinstallez..

    Ils sont tous des attaques au milieu et voici comment ils fonctionnent

    Ceci est une véritable attaque en direct de l'incroyable chercheur en sécurité Rob Graham

    Si de faux certificats racine sont installés sur votre ordinateur dans le magasin de certificats, vous êtes désormais vulnérable aux attaques de type Man-in-the-Middle. Cela signifie que si vous vous connectez à un point d'accès public ou si quelqu'un accède à votre réseau ou parvient à pirater quelque chose en amont de vous, il peut remplacer les sites légitimes par des sites factices. Cela peut sembler farfelu, mais des pirates informatiques ont pu utiliser les détournements de DNS sur certains des plus gros sites Web pour pirater des utilisateurs vers un faux site..

    Une fois que vous êtes piraté, ils peuvent lire tout ce que vous soumettez à un site privé - mots de passe, informations personnelles, informations médicales, e-mails, numéros de sécurité sociale, informations bancaires, etc. Et vous ne le saurez jamais parce que votre navigateur vous le dira. que votre connexion est sécurisée.

    Cela fonctionne car le cryptage à clé publique nécessite à la fois une clé publique et une clé privée. Les clés publiques sont installées dans le magasin de certificats et la clé privée ne doit être connue que par le site Web que vous visitez. Mais lorsque les attaquants peuvent pirater votre certificat racine et conserver les clés publique et privée, ils peuvent faire tout ce qu'ils veulent..

    Dans le cas de Superfish, ils ont utilisé la même clé privée sur chaque ordinateur sur lequel Superfish est installé et, en quelques heures, les chercheurs en sécurité ont pu extraire les clés privées et créer des sites Web pour tester votre vulnérabilité et prouver que vous pouviez le faire. être détourné. Pour Wajam et Geniusbox, les clés sont différentes, mais Content Explorer et certains autres logiciels de publicité utilisent également les mêmes clés partout, ce qui signifie que ce problème n'est pas propre à Superfish..

    Il y a pire: cette merde désactive complètement la validation HTTPS

    Hier encore, des chercheurs en sécurité ont découvert un problème encore plus grave: tous ces serveurs proxy HTTPS désactivent toute validation en donnant l’impression que tout va bien..

    Cela signifie que vous pouvez accéder à un site Web HTTPS dont le certificat est totalement invalide, et ce logiciel de publicité vous dira que le site est très bien. Nous avons testé le logiciel de publicité que nous avons mentionné précédemment et ils désactivent tous complètement la validation HTTPS. Par conséquent, peu importe si les clés privées sont uniques ou non. Horriblement mauvais!

    Tout cet adware interrompt complètement la vérification des certificats.

    Toute personne sur laquelle un logiciel publicitaire est installé est vulnérable à toutes sortes d'attaques et, dans de nombreux cas, reste vulnérable même lorsque le logiciel publicitaire est supprimé..

    Vous pouvez vérifier si vous êtes vulnérable à la vérification de certificats Superfish, Komodia ou non valide à l'aide du site de test créé par les chercheurs en sécurité, mais comme nous l'avons déjà montré, il existe beaucoup plus de logiciels de publicité qui font la même chose, et d'après nos recherches. , les choses vont continuer à empirer.

    Protégez-vous: vérifiez le panneau des certificats et supprimez les mauvaises entrées

    Si vous êtes inquiet, vous devriez vérifier votre magasin de certificats pour vous assurer qu'aucun certificat fragmentaire n'est installé et qu'il pourrait être activé ultérieurement par le serveur proxy de quelqu'un. Cela peut être un peu compliqué, car il y a beaucoup de choses là-dedans, et la plupart sont supposées être là. Nous n'avons pas non plus une bonne liste de ce qui devrait et ne devrait pas être là.

    Utilisez WIN + R pour afficher la boîte de dialogue Exécuter, puis tapez «mmc» pour afficher une fenêtre de la console de gestion Microsoft. Ensuite, utilisez Fichier -> Ajouter / Supprimer des composants logiciels enfichables et sélectionnez Certificats dans la liste de gauche, puis ajoutez-le à droite. Assurez-vous de sélectionner le compte de l'ordinateur dans la boîte de dialogue suivante, puis cliquez sur le reste.

    Vous voudrez vous adresser aux autorités de certification racines de confiance et rechercher des entrées vraiment fragmentaires comme l'une de celles-ci (ou quelque chose de similaire à celles-ci).

    • Sendori
    • Purelead
    • Rocket Tab
    • Super poisson
    • Lookthisup
    • Pando
    • Wajam
    • WajaNEnhance
    • DO_NOT_TRUSTFiddler_root (Fiddler est un outil de développement légitime, mais les logiciels malveillants ont détourné leur certificat.)
    • Alertes système, LLC
    • CE_UmbrellaCert

    Cliquez avec le bouton droit et supprimez les entrées que vous avez trouvées. Si vous rencontrez un problème lorsque vous avez testé Google dans votre navigateur, veillez également à le supprimer. Faites attention, car si vous supprimez les mauvaises choses ici, vous allez casser Windows.

    Nous espérons que Microsoft publiera quelque chose pour vérifier vos certificats racine et s’assurer que seuls les bons sont là. Théoriquement, vous pouvez utiliser cette liste de Microsoft des certificats requis par Windows, puis effectuer la mise à jour vers les derniers certificats racine, mais cela n’a pas encore été testé, et nous ne le recommandons vraiment pas tant que personne ne l’aura testé..

    Ensuite, vous devrez ouvrir votre navigateur Web et rechercher les certificats qui y sont probablement mis en cache. Pour Google Chrome, accédez à Paramètres, Paramètres avancés, puis Gérer les certificats. Sous Personnel, vous pouvez facilement cliquer sur le bouton Supprimer de tout mauvais certificat….

    Mais lorsque vous accédez aux autorités de certification racines de confiance, vous devrez cliquer sur Avancé, puis décocher tout ce que vous voyez pour ne plus accorder d'autorisations à ce certificat…

    Mais c'est la folie.

    Accédez au bas de la fenêtre Paramètres avancés et cliquez sur Réinitialiser les paramètres pour réinitialiser complètement Chrome aux paramètres par défaut. Faites de même pour tout autre navigateur que vous utilisez, ou désinstallez complètement, effacez tous les paramètres, puis réinstallez-le..

    Si votre ordinateur a été affecté, il est probablement préférable de procéder à une installation totalement propre de Windows. Assurez-vous simplement de sauvegarder vos documents, vos photos et tout cela..

    Alors, comment vous protégez-vous?

    Il est presque impossible de vous protéger complètement, mais voici quelques conseils de bon sens pour vous aider:

    • Consultez le site d’essais de validation Superfish / Komodia / Certification.
    • Activez Click-To-Play pour les plug-ins dans votre navigateur, ce qui contribuera à vous protéger de toutes ces failles de sécurité du jour zéro pour Flash et autres plug-ins..
    • Faites très attention à ce que vous téléchargez et essayez d’utiliser Ninite lorsque vous devez absolument.
    • Faites attention à ce que vous cliquez chaque fois que vous cliquez.
    • Envisagez d'utiliser EMET (Enhanced Mitigation Experience Toolkit) ou Malwarebytes Anti-Exploit de Microsoft pour protéger votre navigateur et d'autres applications critiques contre les failles de sécurité et les attaques du jour au lendemain..
    • Assurez-vous que tous vos logiciels, plug-ins et antivirus restent à jour, y compris les mises à jour Windows..

    Mais c’est beaucoup de travail que de vouloir naviguer sur le Web sans se faire détourner. C'est comme traiter avec la TSA.

    L'écosystème Windows est une cavalcade de crapware. Et maintenant, la sécurité fondamentale d'Internet est brisée pour les utilisateurs de Windows. Microsoft doit résoudre ce problème.