Otestujte své PC. Závažná bezpečnostní chyba je i v některých antivirech

  15:00aktualizováno  15:00
V antivirových balících Comodo a Ad-Aware Web Companion je podle bezpečnostních odborníků stejná chyba, kterou ve svých noteboocích distribuovalo Lenovo. Umožňuje, bez ohledu na SSL certifikát, proniknout do zabezpečené komunikace webového prohlížeče se serverem.

Otestujte si, zda i váš prohlížeč nepracuje s chybnými SSL certifikáty. | foto: screenshot Technet.czProfimedia.cz

Z ostudy kabát si minulý týden ušilo Lenovo. Zjistilo se totiž, že v jejich noteboocích předinstalovaná aplikace Superfish obsahuje závažnou bezpečnostní chybu. Ta umožní prolomení zabezpečeného HTTPS spojení, které se používá například v on-line bankovnictví, přístupech do e-mailových schránek a dalších systémů.

Superfish

v noteboocích Lenovo

Jako pomoc majitelům notebooků Lenovo umístili bezpečnostní experti na webovou adresu filipo.io/Badfish jednoduchý test, který ověří, zda není počítač uživatele touto chybou ohrožen. Překvapením však bylo, že jako ohrožené byly diagnostikovány i některé počítače, ve kterých program Superfish prokazatelně nebyl.

Na pozadí problémů jsou opět reklamy

Na diskuzním fóru Hacker News se tak rozběhlo pátrání po příčině, a tou se ukázal antivirový balík Comodo, respektive jeho reklamní manažer PrivDog. Průšvih Lenova tak paradoxně pomohl odhalit nejspíše ještě závažnější chybu. 

PrivDog je aplikace, která vyhodnocuje reklamy na zobrazovaných webových stránkách a ty, které nepocházejí z „důvěryhodného“ zdroje, nahrazuje vlastními, „bezpečnými“ reklamami. Podle záměru tvůrce by se tím měl snížit počet bezpečnostních útoků, při kterých je škodlivý kód propašován na důvěryhodnou webovou stránku pomocí škodlivého kódu v reklamním baneru.

PrivDog však v rámci této činnosti „podstrkuje“ prohlížeči SSL certifikáty, které sám generuje. Což by nebylo tak hrozné, kdyby při této proceduře ověřoval pravost certifikátu vydaném komunikujícím serverem (a certifikační autoritou). PrivDog jej však neověřuje a naopak potvrdí pravost jakéhokoli „sám sebou podepsaného“ certifikátu (self-signed certificate). A ten může být i útočníkův. Zkráceně řečeno, PrivDog zcela diskredituje zabezpečenou komunikaci prohlížeče se serverem.  

Takto by to mělo vypadat. Certifikát patří provozovateli webu a je ověřený...

Takto by to mělo vypadat. Certifikát patří provozovateli webu a je ověřený autoritou. Pokud by certifikát patřil nějaké aplikaci ve vašem počítači, může to znamenat problém.

„Dokud se budou používat metody ´porušení řetězu důvěry´, vždy se stane, že to někdo implementuje naprosto špatně,“ uvedl pro americký server PC World Amichai Shulman, ředitel bezpečnostní společnosti Imperva. “Chyba v Superfish využívala všude stejný kořenový certifikát, chyba v PrivDog neověřuje certifikáty vůbec," doplnil Shulman.

Takto by to naopak vypadat nemělo. Certifikát „Bank of America“ není ověřen...

Takto by to naopak vypadat nemělo. Certifikát „Bank of America“ není ověřen autoritou, ale vydán programem PrivDog. (screenshot uživatele babawere zveřejněný na webu Hacker News)

Řešením je aplikaci okamžitě odinstalovat.

Comodo v tom není samo

Podobný problém má podle serveru Techradar i bezpečnostní program Ad-aware Web Companion od společnosti Lavasoft. Ten totiž pro zpracování zabezpečeného síťového provozu používá stejnou technologii od společnosti Komodia, jaká byla implementována v aplikaci Superfish.

Tuto technologii využívá ve svých aplikacích více softwarových společností, rozsáhlost této „bezpečnostní díry“ tedy ještě nelze odhadovat. Doporučujeme proto svůj systém otestovat jednoduchým webovým testem a postižené aplikace odinstalovat.

 

Nejčtenější

Dětem škodí obrazovky a displeje. Ale jinak, než si rodiče obvykle myslí

Jak všudypřítomné displeje ovlivňují výchovu dětí? (ilustrační fotografie)

Světová zdravotnická organizace vydala nová doporučení ohledně aktivit vhodných pro malé děti. Nejvíce pozornosti si...

Třímachový zabiják letadlových lodí Suchoj T-4 byl velkým žroutem rublů

Suchoj T-4

Historie letectví se pozoruhodnými stroji jenom hemží. Jedním takovým byl i sovětský bombardér Suchoj T-4. Vznikl pouze...

Poslední vrtulník. Začíná předehra zcela zapomenuté letecké tragédie

Reklama NYA zvoucí k cestování v proudové době.

Byla to budova, kterou by někteří obyvatelé New Yorku nejraději hned po dokončení nechali zdemolovat. Místní bar s...

Aktualizujte si WhatsApp. Kvůli chybě vás mohli útočníci odposlouchávat

Aplikace WhatsApp (ilustrační obrázek)

Nový trik využívající chybu v komunikační aplikaci WhatsApp umožnil na základě zmeškaného hovoru nainstalovat do...

Statisíce posluchačů přišly o svá internetová rádia, náprava je pomalá

DAB rádio Pure Oasis Flow

Mnoha posluchačům internetových rádií zmizely předvolené stanice i jimi přidané streamy. Největší výrobce čipů pro...

Další z rubriky

Záplatujte hned, nabádá Microsoft. Opravil chybu, brzy ji někdo zneužije

Nebezpečná chyba se týká vzdáleného přístupu na pracovní plochu a postihuje...

Firma Microsoft našla ve starších operačních systémech Windows závažnou chybu umožňující útočníkům ovládnout počítač a...

Software zdarma: nenechte se sledovat

Ilustrační foto

Anonymně poslat komukoliv, jakýkoliv i objemný soubor zprostředkuje program OnionShare. Bez možnosti vystopovat vaše...

Zlobí vám Firefox? Mozille propadl certifikát, oprava je na cestě

Zablokované doplňky zkomplikovaly život uživatelům prohlížeče Firefox.

Uživatele webového prohlížeče Firefox dnes překvapil výpadek doplňků a zejména vysvětlení jejich nefunkčnosti: systém...

České ženy jsou na rodičovské nejdéle, návrat do práce mají nejtěžší
České ženy jsou na rodičovské nejdéle, návrat do práce mají nejtěžší

V Česku máme jednu z nejdelších rodičovských vůbec. Matky dvou dětí stráví doma průměrně 6–8 let, přestože by se mnohdy chtěly vrátit do práce dříve. Jaké jsou u nás rozdíly v rodičovské oproti ostatním evropským zemím?

Najdete na iDNES.cz