Подвинься, Superfish. Еще одна мутная рекламная программа оказалась в центре внимания. Она также внедряется в HTTPS-соединения, но, возможно, является более опасной, чем Superfish, которая предустанавливалась на новые ноутбуки Lenovo, произведенные в самом конце 2014 года.

Исследователь Ханно Бок (Hanno Bock) сообщил о том, что PrivDog, как и Superfish, устанавливает свой собственный сертификат и ломает SSL-соединения, создавая уязвимость для «человека посередине», которую могут эксплуатировать все, кто способен перехватывать трафик. Однако Бок сказал, что, хотя PrivDog не содержит такой явной уязвимости, как Superfish, она скорее создает еще большие проблемы для пользователей.

PrivDog была разработана основателем и главой Comodo Мелихом Абдулхайоглу (Melih Abdulhayoglu). PrivDog идет в пакете с одним из флагманских продуктов Comodo — Comodo Internet Security, но только как расширение браузера. Уязвимой же является обычная версия.

«PrivDog перехватывает все сертификаты и заменяет их сертификатом, подписанным своим корневым ключом. Это касается и недействительных сертификатов, — сказал Бок. — Он заставит ваш браузер принимать любой сертификат HTTPS, подписан ли он удостоверяющим центром или нет. Мы еще пытаемся выяснить подробности, но все выглядит очень плохо».

Superfish, который использует библиотеку, выполняющую SSL-перехват (Komodia SSL Digester), поставляется с одним и тем же цифровым сертификатом и ключом шифрования в каждой инсталляции. Позже веб-сайт Komodia подвергся DDoS-атаке. Исследователь Роб Грэхем (Rob Graham) из Errata Security через несколько часов после того, как было опубликовано описание уязвимости Superfish, сообщил, что он смог извлечь закрытый ключ, защищающий сертификат.

Бок сказал, что поведение PrivDog иное; последняя версия PrivDog, 3.0.96.0, содержит уязвимость и доступна в качестве отдельной программы. До этого программа поставлялась лишь как расширение браузера в пакете в Comodo Internet Security. Это расширение, по словам Бока, не является уязвимым напрямую. Информационное сообщение о PrivDog называет уязвимость «незначительным нерегулярным дефектом», влияющим на «очень малое число пользователей». Организация сообщила, что в мире 57 тыс. пользователей подвержены уязвимости, из них 6,3 тыс. — в США.

«В определенных условиях самоподписанные сертификаты не вызывают появления предупреждения браузера, но шифрование все еще предоставляется, поэтому безопасность не страдает, — говорится в сообщении о PrivDog. — Потенциальные проблемы имеют место, только если пользователь заходит на сайт, который подписан самодельным сертификатом. Согласно сообщению, проблема исправлена в версии 3.0.105.0″.

Группа реагирования на компьютерные инциденты института программной разработки Университета Карнеги — Меллон, работающая под эгидой министерства внутренней безопасности США, выпустила предупреждение об этой уязвимости. Министерство сообщает, что возможности атаки «человек посередине» в PrivDog обеспечиваются NetFilter SDK.

«Несмотря на то что сертификат корневого удостоверяющего центра создается в момент установки, что обеспечивает различные сертификаты для каждой установки, PrivDog не использует возможности по проверке SSL-сертификата, которые обеспечивает NetFilter SDK, — говорится в сообщении. — Это означает, что веб-браузеры не будут отображать какие-либо предупреждения при посещении поддельных веб-сайтов или веб-сайтов с «человеком посередине».

Так же как и в случае Superfish, проблема обнаружена более чем в дюжине других приложений. Исследователи из команды информационной безопасности Facebook опубликовали отчет, в котором говорится, что все эти приложения содержатся в базе VirusTotal с их вредоносными библиотеками Komodia.

«Мы не можем уверенно утверждать, каковы цели этих приложений, но ни одно из них не объясняет, зачем перехватывает SSL-трафик и что делает с этими данными», — сказал Мэтт Ричард (Matt Richard), исследователь из Facebook. Ричард также опубликовал список авторов сертификатов и сообщил, что список включает сертификаты более чем на тысяче систем в приложениях, в том числе в играх и генераторах всплывающих окон.

Технический директор Lenovo Питер Хортенсус (Peter Hortensius) тем временем извинился в открытом письме перед клиентами компании. Superfish начали предустанавливать на машины Lenovo в прошлом сентябре, и практически сразу клиенты начали жаловаться на его действия. Хортенсус сообщил, что Lenovo больше не будет поставлять компьютеры с Superfish. Компания предоставила способ исправления проблемы вручную в течение нескольких часов после опубликования описания уязвимости, а в дальнейшем выпустила автоматический патч. Компания также работает с Microsoft и несколькими компаниями из отрасли информационной безопасности, чтобы отключить и удалить Superfish с компьютеров.

Это, однако, не остановило некоторых пользователей от правового преследования Lenovo. Юридическая компания Rosen из Нью-Йорка сообщила, что начала разработку группового иска против Lenovo и призывает каждого, кто приобрел компьютер Lenovo между сентябрем 2014 года и январем 2015 года, связаться с компанией и поучаствовать в потенциальном иске.

Категории: Вредоносные программы, Главное, Уязвимости