这是一个可怕的时间成为一个Windows用户。联想正在捆绑HTTPS劫持Superfish广告软件，Comodo附带了一个更糟糕的安全漏洞PrivDog，还有许多其他应用程序，如LavaSoft也在做同样的事情。这真的很糟糕，但如果你想你的加密网络会话被劫持，只要头CNET下载或任何免费网站，因为他们都捆绑HTTPS破坏广告软件现在。

相关：以下是安装前10个下载.com应用程序

Superfish的惨败始于研究人员注意到，捆绑在联想电脑上的Superfish在Windows中安装了一个假的根证书，基本上劫持了所有的HTTPS浏览，这样即使证书不是有效的，也总是看起来有效的，而且他们这样做的方式非常不安全，任何脚本小子黑客都可以完成这个任务同样的事情。

然后他们在你的浏览器中安装一个代理，强迫你的所有浏览都通过它，这样他们就可以**广告。这是正确的，即使你连接到你的银行，或健康保险网站，或任何地方，应该是安全的。你永远也不会知道，因为他们破坏了Windows加密来给你看广告。

但可悲的是，他们并不是唯一这样做的人——像Wajam、Geniu**ox、Content Explorer等广告软件都在做同样的事情，安装他们自己的证书，强迫你的所有浏览（包括HTTPS加密的浏览会话）通过他们的代理服务器。你只需在CNET上安装两个排名前十的应用程序，就可以感染这些废话。

底线是你不能再相信浏览器地址栏中的绿色锁图标了。这是一件可怕的事情。

https劫持广告软件是如何工作的，为什么它如此糟糕

正如我们之前所展示的，如果你犯了信任CNET下载的巨大错误，你可能已经感染了这种类型的广告软件。CNET上排名前十的下载中有两个（KMPlayer和YTD）捆绑了两种不同类型的HTTPS劫持广告软件，在我们的研究中，我们发现大多数其他免费软件网站也在做同样的事情。

注意：安装程序非常复杂，我们不确定技术上谁在做“捆绑”，但是CNET正在他们的主页上推广这些应用程序，所以这实际上是一个语义问题。如果你建议人们下载一些不好的东西，你也同样有错。我们还发现，这些广告公司中有很多都是秘密使用不同公司名称的同一个人。

仅根据CNET下载量排名前十的数据，每个月就有100万人被广告软件感染，这些软件会将加密的网络会话、电子邮件或任何本应安全的东西劫持到自己的银行。

如果您在安装KMPlayer时出错，并且忽略了所有其他的垃圾软件，您将看到这个窗口。如果你不小心点击了Accept（或者点击了错误的键），你的系统将被关闭。

如果你最终从一个更粗略的来源下载了一些东西，比如你最喜欢的搜索引擎中的下载广告，你会看到一大堆不好的东西。现在我们知道，其中许多将完全破坏HTTPS证书验证，使您完全易受攻击。

一旦你感染了这些东西中的任何一种，首先发生的事情就是它设置你的系统代理通过它安装在你的计算机上的本地代理运行。请特别注意下面的“安全”项。在本例中，它来自Wajam互联网“增强器”，但它可能是Superfish或Geniu**ox或我们发现的其他任何东西，它们的工作方式都是一样的。

当你去一个应该是安全的网站，你会看到绿色锁图标，一切看起来都很正常。你甚至可以点击锁来查看细节，看起来一切都很好。你使用的是安全连接，甚至Google Chrome都会报告你是通过安全连接连接到Google的。但你不是！

System Alerts LLC不是一个真正的根证书，实际上您正在通过中间人代理将广告**页面（谁知道还有什么）。你应该把你所有的密码都发邮件给他们，这样会更简单。

一旦广告软件安装和代理你所有的流量，你会开始看到真正讨厌的广告到处都是。这些广告显示在安全的网站上，比如Google，取代了实际的Google广告，或者它们以弹出窗口的形式出现在各处，占据了每个网站。

大多数广告软件显示“广告”链接到彻头彻尾的恶意软件。因此，虽然广告软件本身可能是一个法律上的麻烦，他们启用了一些非常，非常糟糕的东西。

他们通过将假根证书安装到Windows证书存储中，然后代理安全连接，同时使用**书对其进行签名来实现这一点。

如果你查看Windows证书面板，你可以看到各种各样的完全有效的证书…但是如果你的电脑安装了某种类型的广告软件，你会看到虚假的东西，如系统警报，LLC，或Superfish，Wajam，或其他几十个赝品。

即使你已经被感染，然后删除了恶意软件，证书可能仍然存在，使你容易受到其他黑客，可能已经提取了私钥。许多广告软件安装程序在卸载证书时不会删除证书。

他们都是中间人攻击，下面是他们的工作原理

如果您的电脑在证书存储中安装了假根证书，您现在就容易受到中间人攻击。这意味着，如果你连接到一个公共热点，或者有人访问你的网络，或者设法从你的上游入侵一些东西，他们可以用假网站取代合法网站。这听起来可能有些牵强，但黑客已经能够利用DNS劫持网络上一些最大的网站，将用户劫持到一个虚假的网站。

一旦你被劫持，他们可以读取你提交给私人网站的每一件东西——密码、私人信息、健康信息、电子邮件、社会安全号码、银行信息等，你永远不会知道，因为你的浏览器会告诉你，你的连接是安全的。

这是因为公钥加密需要公钥和私钥。公钥安装在证书存储中，私钥只能由您访问的网站知道。但是当攻击者可以劫持您的根证书并同时持有公钥和私钥时，他们可以做任何他们想做的事情。

在Superfish的例子中，他们在每台安装了Superfish的计算机上使用相同的私钥，在几个小时内，安全研究人员就能够提取私钥并创建网站来测试你是否易受攻击，并证明你可能被劫持。对于Wajam和Geniu**ox，键是不同的，但是contentexplorer和其他一些广告软件也在任何地方使用相同的键，这意味着这个问题不是Superfish独有的。

更糟的是：大部分的垃圾都完全禁用了https验证

就在昨天，安全研究人员发现了一个更大的问题：所有这些HTTPS代理都禁用了所有验证，同时看起来一切正常。

这意味着你可以去一个HTTPS网站有一个完全无效的证书，这个广告软件会告诉你，该网站是刚刚好。我们测试了前面提到的广告软件，它们都完全禁用了HTTPS验证，所以私钥是否唯一并不重要。糟透了！

任何安装了广告软件的人都容易受到各种攻击，而且在许多情况下，即使删除了广告软件，也会继续受到攻击。

您可以使用安全研究人员创建的测试站点来检查您是否容易受到Superfish、Komodia或无效证书检查的攻击，但是正如我们已经演示的那样，有更多的广告软件在做同样的事情，而且从我们的研究来看，情况将继续恶化。

保护自己：检查证书面板并删除错误条目

如果您担心，您应该检查您的证书存储，以确保您没有安装任何粗略的证书，这些证书稍后可能会被某人的代理服务器激活。这可能有点复杂，因为里面有很多东西，而且大部分都应该在那里。我们也没有一个好的清单，列出什么应该在那里，什么不应该在那里。

使用WIN+R调出Run对话框，然后键入“mmc”调出Microsoft管理控制台窗口。然后使用File->Add/Remove管理单元，从左侧列表中选择Certificates，然后将其添加到右侧。确保在下一个对话框中选择“计算机帐户”，然后单击其余的。

您需要转到受信任的根证书颁发机构，并查找类似这些（或任何类似的）的非常粗略的条目

• 森多里
• 纯铅
• 火箭标签
• 超级鱼
• 查查这个
• 潘多
• 瓦贾姆
• 瓦詹纳汉斯
• 不信任Fiddler（Fiddler是一个合法的开发工具，但是恶意软件已经劫持了他们的证书）
• 系统警报有限责任公司
• CE\雨伞证书

右键单击并删除找到的任何条目。如果你在浏览器中测试Google时看到不正确的地方，一定要删除那个。小心点，因为如果你在这里删除了错误的东西，你会打碎窗户的。

我们希望Microsoft发布一些东西来检查您的根证书，并确保只有好的根证书存在。从理论上讲，您可以使用Microsoft提供的Windows所需证书列表，然后更新到最新的根证书，但目前还没有经过测试，除非有人对此进行测试，否则我们真的不建议这样做。

接下来，您需要打开web浏览器并找到可能缓存在那里的证书。对于Google Chrome，进入设置、高级设置，然后管理证书。在“个人”下，您可以轻松单击任何坏证书上的“删除”按钮…

但是，当您转到受信任的根证书颁发机构时，您必须单击“高级”，然后取消选中所看到的所有内容，以停止向该证书授予权限…

但那太疯狂了。

相关：停止尝试清理受感染的计算机！只需使用核弹，然后重新安装Windows

转到“高级设置”窗口的底部，单击“重置设置”将Chrome完全重置为默认值。对正在使用的其他浏览器执行相同的操作，或者完全卸载、擦除所有设置，然后重新安装。

如果你的电脑受到了影响，你最好彻底地安装Windows。只是要确保备份你的文件和图片以及所有这些。

那你怎么保护自己呢？

要完全保护自己几乎是不可能的，但这里有一些常识指南可以帮助你：

• 检查Superfish/Komodia/认证验证测试现场。
• 为浏览器中的插件启用“点击播放”，这将有助于保护您免受零日闪存和其他插件安全漏洞的影响。
• 下载的时候一定要小心，绝对必要的时候尽量使用Ninite。
• 每次点击时都要注意你点击的内容。
• 考虑使用Microsoft的增强缓解体验工具包（EMET）或Malwarebytes Anti-Exploit保护浏览器和其他关键应用程序免受安全漏洞和零日攻击。
• 确保所有的软件、插件和防病毒软件都保持更新，这也包括Windows更新。

但如果你只想浏览网页而不被劫持，那就太麻烦了。就像和运输安全管理局打交道。

Windows生态系统是一个垃圾软件的行列。现在，对于Windows用户来说，互联网的基本安全性已经被打破。微软需要解决这个问题。