Hrozba z počítačů Lenovo nalezena v tuctu aplikací
23.2.2015, Jan Vítek, aktualita
Minulý týden se začalo diskutovat o Lenovu, které především na konci minulého roku prodávalo své počítače vybavené softwarem od Superfish. Ten představuje velkou bezpečnostní hrozbu týkající se protokolu HTTPS.
Software firmy Superfish na počítačích Lenovo má oficiálně nabízet uživatelům další reklamy, které umisťuje do webových stránek, což je samo o sobě od Lenova už krok zcela vedle. Jenomže se ukázalo, že jeho součástí je také certifikát, který umožní stylem man-in-the-middle zprostředkovat podvrhnuté stránky, jež se tváří jako pravé a ověřené protokolem HTTPS. A jak se nyní ukázalo tento problém se zdaleka netýká pouze Superfish a Lenova.
Stejně pracuje třeba i Trojan.Nurjax, který byl Symantecem odhalený v prosinci. Ten je schopen převzít kontrolu nad webovými prohlížeči a stáhnout další malware, přičemž také dokáže obejít ochranu danou protokolem HTTPS. Spojovacím prvkem je pak kód od izraelské společnosti Komodia, který využívá také Superfish a celkově tucet aplikací (pokud mezi ně tedy budeme počítat i Trojan.Nurjax). Jejich společným znakem je to, že využívají kořenové certifikáty, které činí prohlížeče napadnutelnými a v řadě případů je také těžké je odinstalovat, respektive to není tak snadné jako u běžných aplikací. Takové aplikace může někdy detekovat antivirový program jako adware či malware, ale tak se stane spíše výjimečně.
Společnost Komodia nabízí tedy SSL hijacker, který na počítač instaluje samotným softwarem ověřený kořenový CA certifikát, který umožní zachytávat zabezpečenou komunikaci s jakoukoliv webovou stránkou chráněnou protokolem HTTPS. Tak se chovají i antiviry a jiné bezpečnostní aplikace, ovšem software Komodie na rozdíl od nich využívá stejný certifikát na mnoha počítačích, přičemž jeho ochranné heslo není nic jiného než "komodia", což je nehledě na shodu s názvem společnosti i tak velmi slabé heslo. Zde jsou tedy otevřená vrátka k napadení počítače, stačí mu podvrhnout falešné stránky a uživatel sám poskytne třeba své přihlašovací údaje. Nemusí si vůbec ničeho podezřelého všimnout, když mu dané stránky jeho prohlížeč servíruje jako zabezpečené a ověřené.
A jaké jsou tedy další aplikace, které využívají kód od Komodia a před nimiž bychom se měli mít na pozoru? Jde o následující
Řada uživatelů, kteří si na počítač z nějakého důvodu některou z těchto aplikací nainstalovali, si často stěžují na to, že je těžké je odinstalovat. Hledat by ale měli především podezřelé certifikáty, které stejně po odinstalaci v počítači nejspíše zůstanou.
Samotné Lenovo nyní už přiznalo chybu a připravilo softwarový nástroj, který počítače zbaví předinstalované hrozby. CTO firmy, Peter Hortensius, dokonce řekl, že má nyní ve svém týmu skupinu velmi trapně se cítících inženýrů, kteří hrozbu prostě přehlédli.
Zdroj: Ars Technica
Stejně pracuje třeba i Trojan.Nurjax, který byl Symantecem odhalený v prosinci. Ten je schopen převzít kontrolu nad webovými prohlížeči a stáhnout další malware, přičemž také dokáže obejít ochranu danou protokolem HTTPS. Spojovacím prvkem je pak kód od izraelské společnosti Komodia, který využívá také Superfish a celkově tucet aplikací (pokud mezi ně tedy budeme počítat i Trojan.Nurjax). Jejich společným znakem je to, že využívají kořenové certifikáty, které činí prohlížeče napadnutelnými a v řadě případů je také těžké je odinstalovat, respektive to není tak snadné jako u běžných aplikací. Takové aplikace může někdy detekovat antivirový program jako adware či malware, ale tak se stane spíše výjimečně.
Společnost Komodia nabízí tedy SSL hijacker, který na počítač instaluje samotným softwarem ověřený kořenový CA certifikát, který umožní zachytávat zabezpečenou komunikaci s jakoukoliv webovou stránkou chráněnou protokolem HTTPS. Tak se chovají i antiviry a jiné bezpečnostní aplikace, ovšem software Komodie na rozdíl od nich využívá stejný certifikát na mnoha počítačích, přičemž jeho ochranné heslo není nic jiného než "komodia", což je nehledě na shodu s názvem společnosti i tak velmi slabé heslo. Zde jsou tedy otevřená vrátka k napadení počítače, stačí mu podvrhnout falešné stránky a uživatel sám poskytne třeba své přihlašovací údaje. Nemusí si vůbec ničeho podezřelého všimnout, když mu dané stránky jeho prohlížeč servíruje jako zabezpečené a ověřené.
A jaké jsou tedy další aplikace, které využívají kód od Komodia a před nimiž bychom se měli mít na pozoru? Jde o následující
- CartCrunch Israel LTD
- WiredTools LTD
- Say Media Group LTD
- Over the Rainbow Tech
- System Alerts
- ArcadeGiant
- Objectify Media Inc
- Catalytix Web Services
- OptimizerMonitor
- SecureTeen
Řada uživatelů, kteří si na počítač z nějakého důvodu některou z těchto aplikací nainstalovali, si často stěžují na to, že je těžké je odinstalovat. Hledat by ale měli především podezřelé certifikáty, které stejně po odinstalaci v počítači nejspíše zůstanou.
Samotné Lenovo nyní už přiznalo chybu a připravilo softwarový nástroj, který počítače zbaví předinstalované hrozby. CTO firmy, Peter Hortensius, dokonce řekl, že má nyní ve svém týmu skupinu velmi trapně se cítících inženýrů, kteří hrozbu prostě přehlédli.
Zdroj: Ars Technica
