Hlavní navigace

Na Download.com a jinde můžete chytit crapware narušující HTTPS

 Autor: Shutterstock, podle licence: Rights Managed
Daniel Dočekal

Nemusíte mít ani Lenovo, abyste si do počítače pořídili nějaký ten Superwish crapware či badware. Stačí si stáhnout software z něčeho jako Download.com.

Pokud si pamatujete na aféru se Superfish softwarem předinstalovaným na noteboocích od Lenovo, tak asi tušíte, že existují podivné nápady, které vám do počítače dostanou nebezpečný software narušující šifrované (HTTPS) připojení a přinášejí možnost MITM (Man In The Middle) útoků, šmírování a další rizika.

Funguje to v zásadě tak, že do vašeho počítače (s Windows) je nainstalován falešný root certifikát schopný převzít veškerou HTTPS komunikaci tak, že jakékoliv certifikáty jsou vždy platné. V případě softwaru jménem Superfish to navíc bylo udělané tak amatérsky, že díra byla zneužitelná kýmkoliv se škodlivými nápady.

Stejný systém se používá u adwaru, které se po nasazení do vašeho počítače postará o přesměrování veškeré HTTP/HTTPS komunikace tak, aby bylo možné do stránek vkládat vlastní inzeráty. Na „trhu“ existuje podobných „řešení“ řada - například Wajam, GeniusBox, Content Explorer. Do počítače přidají vlastní certifikát a pak čtou a upravují veškerou komunikaci.

Jak upozorňuje Howtogeek,com, něco podobného můžete chytit i tak, že si na Downloads.com stáhnete a nainstalujete software, u kterého rozhodně nic takového nečekáte – v jimi zmiňovaném žebříčku deseti nejstahovanějších aplikací šlo o KMPlayer a YTD Video Downnload, ale nejsou to jediné případy.

Zelené tlačítko

Podle Howtogeek.com není vůbec jisté, jestli původcem tohoto napadání počítačů je CNET a jejich Download.com nebo jestli je adware/malware dodáván přímo autory programů. V řadě případů z historie totiž takto obohacené programy ve skutečnosti pocházely od téže firmy či jednotlivce, pouze se navenek skrývaly pod různé názvy a značky.

KMPlayer tak například obsahuje výše zmíněný Wajam a jak CNET, tak případný tvůrce KMPlayeru se dokáží poměrně snadno vykroutit z jakékoliv kritiky: instalace Wajamu totiž není utajená a uživatel je dotázán, zda si Wajam přeje nainstalovat. Což zpravidla vede k tomu, že stiskne zelené tlačítko Accept místo správného oranžového Decline.

Smyslem těchto úprav je samozřejmě to, že vám bude dodávána reklama na místech, kde by normálně nebyla. Útok na šifrované připojení má jasný důvod: přes HTTPS dnes běží většina podstatných služeb a webů. V dobách dřívějších podobnému softwaru stačilo, když převzal kontrolu nad nešifrovaným spojením.

Zásadní problém je v tom, že program kompletně zruší jakékoliv hlídání platnosti certifikátů a tím i skutečně bezpečné HTTPS komunikace.

Jak odhalit, že něco takového máte v počítači?

Mimo projevy v podobě podivných reklam na místech, kde ani většinou nebývají, je poměrně složité na první pohled poznat, že se vám něco podobného dostalo do počítače. Je dobré se podívat na nastavení připojení k internetu, protože tam může být aktivované spojení přes lokální proxy (často 127.0.0.1).

Můžete zkusit spustit v příkazové řádce netstat, kde podivná připojení přes lokální síť můžete také vidět. Případné spuštění jako správce a použití netstat -b pomůže při identifikaci programů, ze kterých ona spojení probíhají. Budete-li tápat nad IP adresami, tak pomůže netstat -f, které je převede na doménová jména (tam, kde je to možné).

Spoléhat se na to, že adware/crapware objeví antivirus, je obvykle dost marné, velmi málokdy je detekují, nepovažují je totiž za viry. Mohou pomoci antimalware řešení v podobě PC Decrapifier, Kaspersky TDSSKiller, Trojan Killer, HitmanPro 3 či Malwarebytes Anti-Malware (poslední dvě jmenované používám poměrně často s dobrými zkušenostmi).

Bývá dobré podívat se i do certifikátů, které máte ve Windows (ale pozor, budou ještě ve všech prohlížečích). Stačí jít do MMC (Microsoft Management Console) s přidaným modulem Certifikáty. Pak vyberete Účet počítače. Po přidání vás budou zajímat „Důvěryhodné kořenové certifikační autority“, ale má to celé jeden zásadní nedostatek – je jich tam opravdu hodně a poznat ty podvodné není jednoduché – trochu může pomoci, že jsou známa nejpoužívanější jména: Sendori, Purelead, Rocket Tab, Super Fish, Lookthisup, Pando, Wajam, WajaNEnhance, DO_NOT_TRUSTFiddler_root, System Alerts, CE_UmbrellaCert.

Můžete zkusit i některý z online testů (například superfish.tlsfun.de), které zkoušejí, jestli v počítači některé z podvržených certifikátů nemáte. Ale tady pozor, nezjištění problému nemusí znamenat, že nejste napadení.

A nezapomeňte, že antivirové programy instalují MITM stejně jako tyto podvodné programy. Pokud jste svěřili vašemu antivirovému programu kontrolu vaší komunikace přes web, tak to nebyl rozhodně ten nejlepší nápad.

Našli jste v článku chybu?

22. 2. 2016 21:22

Lol Phirae (neregistrovaný)

Tak jistě. S oním amatérským Linuxem takový problém nemá, protože v repozitářích distribucí se malware nevyskytuje. Zdravíme Windows "profesionály".

24. 2. 2016 17:28

Vojta (neregistrovaný)

Myslím že si nerozumíme.
Pokud jako utocnik schovám malware do stránky která jede přes https. Jak se tomu mohu na straně klienta bránit pokud nedesifruju https abych se ke kontrole kódu dostal.

Kontrola kódu je přece důvod proč si antivirus pořizuji.


120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče