Unduh.com dan Lainnya Bundle Superfish-Style HTTPS Memecah Adware

Daftar Isi:

Unduh.com dan Lainnya Bundle Superfish-Style HTTPS Memecah Adware
Unduh.com dan Lainnya Bundle Superfish-Style HTTPS Memecah Adware

Video: Unduh.com dan Lainnya Bundle Superfish-Style HTTPS Memecah Adware

Video: Unduh.com dan Lainnya Bundle Superfish-Style HTTPS Memecah Adware
Video: cara membuat email baru, #gmail #email #googleform #Absensisiswa - YouTube 2024, April
Anonim
Ini adalah waktu yang menakutkan untuk menjadi pengguna Windows. Lenovo membundel adware Superfish yang membajak HTTPS, Comodo mengirim dengan lubang keamanan yang lebih buruk yang disebut PrivDog, dan lusinan aplikasi lain seperti LavaSoft melakukan hal yang sama. Ini benar-benar buruk, tetapi jika Anda ingin sesi web terenkripsi Anda dibajak, hanya menuju ke Unduhan CNET atau situs freeware apa pun, karena semuanya bundling HTTPS-melanggar adware sekarang.
Ini adalah waktu yang menakutkan untuk menjadi pengguna Windows. Lenovo membundel adware Superfish yang membajak HTTPS, Comodo mengirim dengan lubang keamanan yang lebih buruk yang disebut PrivDog, dan lusinan aplikasi lain seperti LavaSoft melakukan hal yang sama. Ini benar-benar buruk, tetapi jika Anda ingin sesi web terenkripsi Anda dibajak, hanya menuju ke Unduhan CNET atau situs freeware apa pun, karena semuanya bundling HTTPS-melanggar adware sekarang.

Kegagalan Superfish dimulai ketika para peneliti memperhatikan bahwa Superfish, yang dipaketkan pada komputer Lenovo, memasang sertifikat root palsu ke Windows yang pada dasarnya membajak semua penelusuran HTTPS sehingga sertifikat tersebut selalu terlihat valid bahkan jika tidak, dan mereka melakukannya dengan cara seperti itu. cara yang tidak aman bahwa hacker script kiddie bisa mencapai hal yang sama.

Lalu mereka memasang proxy ke browser Anda dan memaksa semua penjelajahan Anda melewatinya sehingga mereka dapat memasukkan iklan. Itu benar, bahkan ketika Anda terhubung ke bank Anda, atau situs asuransi kesehatan, atau di mana saja yang seharusnya aman. Dan Anda tidak akan pernah tahu, karena mereka merusak enkripsi Windows untuk menampilkan iklan kepada Anda.

Tetapi fakta yang menyedihkan dan menyedihkan adalah bahwa mereka bukan satu-satunya yang melakukan hal ini - adware seperti Wajam, Geniusbox, Content Explorer, dan yang lainnya semua melakukan hal yang sama persis, memasang sertifikat mereka sendiri dan memaksa semua penelusuran Anda (termasuk sesi penelusuran terenkripsi HTTPS) untuk melewati server proxy mereka. Dan Anda bisa terinfeksi dengan omong kosong ini hanya dengan menginstal dua dari 10 aplikasi teratas di Unduhan CNET.

Intinya adalah Anda tidak lagi dapat mempercayai ikon kunci hijau di bilah alamat browser Anda. Dan itu hal yang menakutkan, menakutkan.

Cara Kerja HTTPS-Hijacking Adware, dan Mengapa Ini Buruk

Image
Image

Seperti yang telah kami tunjukkan sebelumnya, jika Anda membuat kesalahan besar yang sangat besar dengan memercayai Unduhan CNET, Anda mungkin sudah terinfeksi dengan jenis adware ini. Dua dari sepuluh unduhan teratas di CNET (KMPlayer dan YTD) menggabungkan dua jenis adware HTTPS-pembajak yang berbeda, dan dalam penelitian kami, kami menemukan bahwa sebagian besar situs freeware lain melakukan hal yang sama.

catatan:pemasangannya sangat rumit dan berbelit-belit sehingga kami tidak yakin siapa itu secara teknis melakukan "bundling", tetapi CNET mempromosikan aplikasi ini di beranda mereka, jadi ini benar-benar masalah semantik. Jika Anda menyarankan agar orang mengunduh sesuatu yang buruk, Anda juga salah. Kami juga menemukan bahwa banyak dari perusahaan adware ini secara diam-diam adalah orang yang sama yang menggunakan nama perusahaan yang berbeda.

Berdasarkan nomor unduhan dari daftar 10 teratas di Unduhan CNET saja, satu juta orang terinfeksi setiap bulan dengan adware yang membajak sesi web terenkripsi mereka ke bank mereka, atau email, atau apa pun yang seharusnya aman.

Jika Anda membuat kesalahan dengan menginstal KMPlayer, dan Anda berhasil mengabaikan semua crapware lainnya, Anda akan disajikan dengan jendela ini. Dan jika Anda secara tidak sengaja mengklik Terima (atau tekan tombol yang salah) sistem Anda akan di-pwned.

Jika Anda akhirnya mengunduh sesuatu dari sumber yang lebih samar, seperti iklan unduhan di mesin telusur favorit Anda, Anda akan melihat seluruh daftar hal-hal yang tidak baik. Dan sekarang kita tahu bahwa banyak dari mereka akan benar-benar melanggar validasi sertifikat HTTPS, membuat Anda benar-benar rentan.
Jika Anda akhirnya mengunduh sesuatu dari sumber yang lebih samar, seperti iklan unduhan di mesin telusur favorit Anda, Anda akan melihat seluruh daftar hal-hal yang tidak baik. Dan sekarang kita tahu bahwa banyak dari mereka akan benar-benar melanggar validasi sertifikat HTTPS, membuat Anda benar-benar rentan.
Setelah Anda terinfeksi salah satu dari hal-hal ini, hal pertama yang terjadi adalah mengatur proxy sistem Anda untuk dijalankan melalui proxy lokal yang diinstal pada komputer Anda. Bayar perhatian khusus pada item "Aman" di bawah ini. Dalam hal ini berasal dari Wajam Internet “Enhancer,” tetapi bisa juga Superfish atau Geniusbox atau yang lain yang kami temukan, semuanya bekerja dengan cara yang sama.
Setelah Anda terinfeksi salah satu dari hal-hal ini, hal pertama yang terjadi adalah mengatur proxy sistem Anda untuk dijalankan melalui proxy lokal yang diinstal pada komputer Anda. Bayar perhatian khusus pada item "Aman" di bawah ini. Dalam hal ini berasal dari Wajam Internet “Enhancer,” tetapi bisa juga Superfish atau Geniusbox atau yang lain yang kami temukan, semuanya bekerja dengan cara yang sama.
Image
Image

Ketika Anda pergi ke situs yang seharusnya aman, Anda akan melihat ikon kunci hijau dan semuanya akan terlihat sangat normal. Anda bahkan dapat mengeklik kunci untuk melihat detailnya, dan akan tampak bahwa semuanya baik-baik saja. Anda menggunakan koneksi aman, dan bahkan Google Chrome akan melaporkan bahwa Anda terhubung ke Google dengan koneksi aman. Tetapi Anda tidak!

System Alerts LLC bukan sertifikat root sebenarnya dan Anda benar-benar akan melalui proxy Man-in-the-Middle yang memasukkan iklan ke dalam halaman (dan siapa yang tahu apa lagi). Anda hanya perlu mengirim email ke semua kata sandi Anda, itu akan lebih mudah.

Setelah adware dipasang dan mengesahkan semua lalu lintas Anda, Anda akan mulai melihat iklan yang benar-benar menjengkelkan di semua tempat. Iklan ini ditampilkan di situs yang aman, seperti Google, menggantikan iklan Google yang sebenarnya, atau mereka muncul sebagai popup di semua tempat, mengambil alih setiap situs.
Setelah adware dipasang dan mengesahkan semua lalu lintas Anda, Anda akan mulai melihat iklan yang benar-benar menjengkelkan di semua tempat. Iklan ini ditampilkan di situs yang aman, seperti Google, menggantikan iklan Google yang sebenarnya, atau mereka muncul sebagai popup di semua tempat, mengambil alih setiap situs.
Sebagian besar adware ini menunjukkan tautan “ad” ke malware yang langsung. Jadi sementara adware itu sendiri mungkin merupakan gangguan hukum, mereka memungkinkan beberapa hal yang benar-benar buruk.
Sebagian besar adware ini menunjukkan tautan “ad” ke malware yang langsung. Jadi sementara adware itu sendiri mungkin merupakan gangguan hukum, mereka memungkinkan beberapa hal yang benar-benar buruk.

Mereka mencapai ini dengan menginstal sertifikat akar palsu mereka ke toko sertifikat Windows dan kemudian proxy koneksi aman saat menandatanganinya dengan sertifikat palsu mereka.

Jika Anda melihat di panel Windows Certificates, Anda dapat melihat semua jenis sertifikat yang benar-benar valid … tetapi jika PC Anda memiliki beberapa jenis adware yang terpasang, Anda akan melihat hal-hal palsu seperti System Alerts, LLC, atau Superfish, Wajam, atau lusinan palsu lainnya.

Bahkan jika Anda telah terinfeksi dan kemudian menghapus badware, sertifikat mungkin masih ada di sana, membuat Anda rentan terhadap peretas lain yang mungkin telah mengekstrak kunci privat. Banyak penginstal adware tidak menghapus sertifikat saat Anda mencopot pemasangannya.
Bahkan jika Anda telah terinfeksi dan kemudian menghapus badware, sertifikat mungkin masih ada di sana, membuat Anda rentan terhadap peretas lain yang mungkin telah mengekstrak kunci privat. Banyak penginstal adware tidak menghapus sertifikat saat Anda mencopot pemasangannya.

Mereka Semua Serangan Pria-di-Tengah-dan Inilah Cara Mereka Bekerja

Jika PC Anda memiliki sertifikat akar palsu yang dipasang di toko sertifikat, Anda sekarang rentan terhadap serangan Man-in-the-Middle. Apa artinya ini jika Anda terhubung ke hotspot publik, atau seseorang mendapat akses ke jaringan Anda, atau mengelola untuk meretas sesuatu di hulu dari Anda, mereka dapat mengganti situs yang sah dengan situs palsu. Ini mungkin terdengar tidak masuk akal, tetapi peretas dapat menggunakan pembajakan DNS di beberapa situs terbesar di web untuk membajak pengguna ke situs palsu.
Jika PC Anda memiliki sertifikat akar palsu yang dipasang di toko sertifikat, Anda sekarang rentan terhadap serangan Man-in-the-Middle. Apa artinya ini jika Anda terhubung ke hotspot publik, atau seseorang mendapat akses ke jaringan Anda, atau mengelola untuk meretas sesuatu di hulu dari Anda, mereka dapat mengganti situs yang sah dengan situs palsu. Ini mungkin terdengar tidak masuk akal, tetapi peretas dapat menggunakan pembajakan DNS di beberapa situs terbesar di web untuk membajak pengguna ke situs palsu.

Setelah Anda dibajak, mereka dapat membaca setiap hal yang Anda kirimkan ke situs pribadi - kata sandi, informasi pribadi, informasi kesehatan, email, nomor jaminan sosial, informasi perbankan, dll. Dan Anda tidak akan pernah tahu karena browser Anda akan memberi tahu Anda koneksi Anda aman.

Ini berfungsi karena enkripsi kunci publik membutuhkan kunci publik dan kunci privat. Kunci publik dipasang di toko sertifikat, dan kunci privat hanya boleh diketahui oleh situs web yang Anda kunjungi. Tetapi ketika penyerang dapat membajak sertifikat root Anda dan memegang kunci publik dan pribadi, mereka dapat melakukan apa pun yang mereka inginkan.

Dalam kasus Superfish, mereka menggunakan kunci pribadi yang sama pada setiap komputer yang memiliki Superfish diinstal, dan dalam beberapa jam, peneliti keamanan mampu mengekstrak kunci privat dan membuat situs web untuk menguji apakah Anda rentan, dan membuktikan bahwa Anda dapat dibajak. Untuk Wajam dan Geniusbox, tombolnya berbeda, tetapi Content Explorer dan beberapa adware lainnya juga menggunakan kunci yang sama di mana-mana, yang berarti masalah ini tidak unik untuk Superfish.

Ini Semakin Buruk: Sebagian Besar Crap Ini Menonaktifkan Validasi HTTPS Secara Keseluruhan

Baru kemarin, para peneliti keamanan menemukan masalah yang lebih besar: Semua proxy HTTPS ini menonaktifkan semua validasi sementara membuatnya terlihat seperti semuanya baik-baik saja.

Itu berarti Anda dapat membuka situs web HTTPS yang memiliki sertifikat yang benar-benar tidak valid, dan adware ini akan memberi tahu Anda bahwa situs itu baik-baik saja. Kami menguji adware yang kami sebutkan sebelumnya dan semuanya menonaktifkan validasi HTTPS sepenuhnya, jadi tidak masalah jika kunci privat itu unik atau tidak. Sangat buruk!

Siapa pun yang memasang adware rentan terhadap segala macam serangan, dan dalam banyak kasus terus menjadi rentan bahkan ketika adware dihapus.
Siapa pun yang memasang adware rentan terhadap segala macam serangan, dan dalam banyak kasus terus menjadi rentan bahkan ketika adware dihapus.

Anda dapat memeriksa apakah Anda rentan terhadap Superfish, Komodia, atau pengecekan sertifikat yang tidak sah menggunakan situs uji yang dibuat oleh peneliti keamanan, tetapi seperti yang telah kami tunjukkan, ada lebih banyak adware di luar sana yang melakukan hal yang sama, dan dari penelitian kami, hal-hal akan terus memburuk.

Lindungi Diri Anda: Periksa Panel Sertifikat dan Hapus Entri Buruk

Jika Anda khawatir, Anda harus memeriksa toko sertifikat Anda untuk memastikan bahwa Anda tidak memiliki sertifikat samar yang terpasang yang nantinya dapat diaktifkan oleh server proxy seseorang. Ini bisa sedikit rumit, karena ada banyak barang di sana, dan sebagian besar seharusnya ada di sana. Kami juga tidak memiliki daftar yang bagus tentang apa yang seharusnya dan seharusnya tidak ada di sana.

Gunakan WIN + R untuk membuka dialog Run, dan kemudian ketik "mmc" untuk membuka jendela Microsoft Management Console. Kemudian gunakan File -> Tambah / Hapus Snap-in dan pilih Sertifikat dari daftar di sebelah kiri, lalu tambahkan ke sisi kanan. Pastikan untuk memilih Akun komputer pada dialog berikutnya, dan kemudian klik sisanya.

  • Sendori
  • Purelead
  • Tab Rocket
  • Ikan Super
  • Lihatlah
  • Pando
  • Wajam
  • WajaNEnhance
  • DO_NOT_TRUSTFiddler_root (Fiddler adalah alat pengembang yang sah tetapi malware telah membajak sertifikat mereka)
  • Peringatan Sistem, LLC
  • CE_UmbrellaCert

Klik kanan dan Hapus entri apa pun yang Anda temukan. Jika Anda melihat sesuatu yang salah ketika Anda menguji Google di browser Anda, pastikan untuk menghapusnya juga. Berhati-hatilah, karena jika Anda menghapus hal yang salah di sini, Anda akan merusak Windows.

Kami berharap bahwa Microsoft merilis sesuatu untuk memeriksa sertifikat akar Anda dan memastikan bahwa hanya yang bagus yang ada di sana. Secara teoritis Anda dapat menggunakan daftar ini dari Microsoft dari sertifikat yang diperlukan oleh Windows, dan kemudian memperbarui ke sertifikat akar terbaru, tetapi itu benar-benar belum diuji pada saat ini, dan kami benar-benar tidak merekomendasikannya sampai seseorang menguji ini.
Kami berharap bahwa Microsoft merilis sesuatu untuk memeriksa sertifikat akar Anda dan memastikan bahwa hanya yang bagus yang ada di sana. Secara teoritis Anda dapat menggunakan daftar ini dari Microsoft dari sertifikat yang diperlukan oleh Windows, dan kemudian memperbarui ke sertifikat akar terbaru, tetapi itu benar-benar belum diuji pada saat ini, dan kami benar-benar tidak merekomendasikannya sampai seseorang menguji ini.

Selanjutnya, Anda akan perlu membuka browser web Anda dan menemukan sertifikat yang mungkin di-cache di sana. Untuk Google Chrome, buka Pengaturan, Pengaturan Lanjutan, dan kemudian Kelola sertifikat. Di bawah Pribadi, Anda dapat dengan mudah mengeklik tombol Hapus pada semua sertifikat buruk …

Tetapi ketika Anda pergi ke Otoritas Sertifikasi Root Terpercaya, Anda harus mengeklik Lanjutan dan kemudian menghapus centang semua yang Anda lihat untuk berhenti memberikan izin ke sertifikat itu …
Tetapi ketika Anda pergi ke Otoritas Sertifikasi Root Terpercaya, Anda harus mengeklik Lanjutan dan kemudian menghapus centang semua yang Anda lihat untuk berhenti memberikan izin ke sertifikat itu …

Tapi itu gila.

Pergi ke bagian bawah jendela Pengaturan Lanjutan dan klik Atur ulang pengaturan untuk sepenuhnya mengatur ulang Chrome ke default. Lakukan hal yang sama untuk browser lain apa pun yang Anda gunakan, atau hapus instalan sepenuhnya, hapus semua pengaturan, lalu instal kembali.

Jika komputer Anda terpengaruh, Anda mungkin lebih baik melakukan pemasangan Windows yang benar-benar bersih. Pastikan saja untuk mem-backup dokumen dan gambar Anda dan semua itu.

Jadi, Bagaimana Anda Melindungi Diri Anda?

Hampir tidak mungkin benar-benar melindungi diri Anda sendiri, tetapi berikut beberapa panduan yang masuk akal untuk membantu Anda:

  • Periksa situs uji validasi Superfish / Komodia / Sertifikasi.
  • Aktifkan Click-To-Play untuk plugin di browser Anda, yang akan membantu melindungi Anda dari semua Flash zero-day dan lubang keamanan plugin lain yang ada.
  • Berhati-hatilah dengan apa yang Anda unduh dan coba gunakan Ninite ketika Anda benar-benar harus.
  • Perhatikan apa yang Anda klik setiap kali Anda mengklik.
  • Pertimbangkan untuk menggunakan Microsoft Enhanced Mitigation Experience Toolkit (EMET) atau Malwarebytes Anti-Exploit untuk melindungi browser Anda dan aplikasi penting lainnya dari lubang keamanan dan serangan zero-day.
  • Pastikan semua perangkat lunak, plugin, dan anti-virus Anda tetap diperbarui, dan itu termasuk Pembaruan Windows juga.

Tetapi itu adalah pekerjaan yang sangat banyak karena hanya ingin menjelajahi web tanpa dibajak. Ini seperti berurusan dengan TSA.

Ekosistem Windows adalah iring-iringan crapware. Dan sekarang keamanan dasar Internet rusak untuk pengguna Windows. Microsoft perlu memperbaiki ini.

Direkomendasikan:

Cara Menggunakan Restore Partition untuk Memecah Ke Mac Menjalankan OS X Lion

Cara Menggunakan Restore Partition untuk Memecah Ke Mac Menjalankan OS X Lion

Ini sepele untuk membobol Mac menggunakan boot disk OS X, tetapi Mac baru menggunakan partisi pemulihan untuk instalasi OS. Berikut ini cara Anda menggunakan partisi itu untuk menyetel ulang kata sandi pengguna dan membobol Mac.

ESET Superfish Adware Cleaner tersedia

ESET Superfish Adware Cleaner tersedia

ESET Superfish Cleaner adalah alat portabel kecil, yang langsung memberitahu Anda jika Anda memiliki Superfish yang diinstal pada PC Windows Anda dan menghapusnya sepenuhnya.

CCleaner memecah menu konteks Windows 7

CCleaner memecah menu konteks Windows 7

Jika Anda telah menggunakan CCleaner dan menemukan bahwa item menu konteks Turn On BitLocker Anda telah hilang, Anda dapat mengunduh perbaikan registri ini dan menerapkannya.

Pembunuh Adware Ultra: Sepenuhnya menghapus Adware dan jejak

Pembunuh Adware Ultra: Sepenuhnya menghapus Adware dan jejak

Ultra Adware Killer adalah Adware cleaner & removal tool portabel gratis yang membantu pengguna untuk menghapus Adware dan jejak mereka dari sistem Windows sepenuhnya.

Windows 10 v1809 menyebabkan Blue Screen & memecah Audio untuk beberapa

Windows 10 v1809 menyebabkan Blue Screen & memecah Audio untuk beberapa

Termasuk workarounds! Pembaruan kumulatif untuk Windows 10 v1809 menyebabkan Layar Biru WDF_VIOLATION untuk pengguna HP & melanggar Audio dalam beberapa sistem. Sementara pengguna HP menerima BSOD, mereka yang menggunakan SST dari Intel tidak dapat mendengar ide apa pun. Keduanya masalah ketidakcocokan driver.