Premium

Získejte všechny články
jen za 89 Kč/měsíc

Otestujte své PC. Závažná bezpečnostní chyba je i v některých antivirech

  15:00
V antivirových balících Comodo a Ad-Aware Web Companion je podle bezpečnostních odborníků stejná chyba, kterou ve svých noteboocích distribuovalo Lenovo. Umožňuje, bez ohledu na SSL certifikát, proniknout do zabezpečené komunikace webového prohlížeče se serverem.
Otestujte si, zda i váš prohlížeč nepracuje s chybnými SSL certifikáty.

Otestujte si, zda i váš prohlížeč nepracuje s chybnými SSL certifikáty. | foto: screenshot Technet.czProfimedia.cz

Z ostudy kabát si minulý týden ušilo Lenovo. Zjistilo se totiž, že v jejich noteboocích předinstalovaná aplikace Superfish obsahuje závažnou bezpečnostní chybu. Ta umožní prolomení zabezpečeného HTTPS spojení, které se používá například v on-line bankovnictví, přístupech do e-mailových schránek a dalších systémů.

Superfish

v noteboocích Lenovo

Jako pomoc majitelům notebooků Lenovo umístili bezpečnostní experti na webovou adresu filipo.io/Badfish jednoduchý test, který ověří, zda není počítač uživatele touto chybou ohrožen. Překvapením však bylo, že jako ohrožené byly diagnostikovány i některé počítače, ve kterých program Superfish prokazatelně nebyl.

Na pozadí problémů jsou opět reklamy

Na diskuzním fóru Hacker News se tak rozběhlo pátrání po příčině, a tou se ukázal antivirový balík Comodo, respektive jeho reklamní manažer PrivDog. Průšvih Lenova tak paradoxně pomohl odhalit nejspíše ještě závažnější chybu. 

PrivDog je aplikace, která vyhodnocuje reklamy na zobrazovaných webových stránkách a ty, které nepocházejí z „důvěryhodného“ zdroje, nahrazuje vlastními, „bezpečnými“ reklamami. Podle záměru tvůrce by se tím měl snížit počet bezpečnostních útoků, při kterých je škodlivý kód propašován na důvěryhodnou webovou stránku pomocí škodlivého kódu v reklamním baneru.

PrivDog však v rámci této činnosti „podstrkuje“ prohlížeči SSL certifikáty, které sám generuje. Což by nebylo tak hrozné, kdyby při této proceduře ověřoval pravost certifikátu vydaném komunikujícím serverem (a certifikační autoritou). PrivDog jej však neověřuje a naopak potvrdí pravost jakéhokoli „sám sebou podepsaného“ certifikátu (self-signed certificate). A ten může být i útočníkův. Zkráceně řečeno, PrivDog zcela diskredituje zabezpečenou komunikaci prohlížeče se serverem.  

Takto by to mělo vypadat. Certifikát patří provozovateli webu a je ověřený autoritou. Pokud by certifikát patřil nějaké aplikaci ve vašem počítači, může to znamenat problém.

„Dokud se budou používat metody ´porušení řetězu důvěry´, vždy se stane, že to někdo implementuje naprosto špatně,“ uvedl pro americký server PC World Amichai Shulman, ředitel bezpečnostní společnosti Imperva. “Chyba v Superfish využívala všude stejný kořenový certifikát, chyba v PrivDog neověřuje certifikáty vůbec," doplnil Shulman.

Takto by to naopak vypadat nemělo. Certifikát „Bank of America“ není ověřen autoritou, ale vydán programem PrivDog. (screenshot uživatele babawere zveřejněný na webu Hacker News)

Řešením je aplikaci okamžitě odinstalovat.

Comodo v tom není samo

Podobný problém má podle serveru Techradar i bezpečnostní program Ad-aware Web Companion od společnosti Lavasoft. Ten totiž pro zpracování zabezpečeného síťového provozu používá stejnou technologii od společnosti Komodia, jaká byla implementována v aplikaci Superfish.

Tuto technologii využívá ve svých aplikacích více softwarových společností, rozsáhlost této „bezpečnostní díry“ tedy ještě nelze odhadovat. Doporučujeme proto svůj systém otestovat jednoduchým webovým testem a postižené aplikace odinstalovat.

  • Nejčtenější

Severoamerické kosatky nosí na hlavě mrtvé lososy. Už zase. Proč to dělají?

Kdybyste začali chodit po ulici s mrtvou rybou na hlavě, nejspíš by vás lidé považovali za blázny. Mezi kosatkami z okolí Pudgetova zálivu to zjevně neplatí. Nosí rybí klobouky už podruhé. Zoologové...

5. prosince 2024

Komáři se proměnili v létající injekční stříkačky s vakcínou

Štípnutí komárem tentokrát nepřenáší nákazu, ale člověku naopak zajistí odolnost vůči jedné z největších metel lidstva – malárii. Vědci cíleně poškodili dědičnou informaci prvoka tak, aby zahynul...

4. prosince 2024

Vybíráme nový televizor pod stromeček. Jak se vyznat v záplavě možností?

Televizor nepatří mezi nejmenší investice a zároveň jej neměníme příliš často. Je tedy dobré věnovat výběru patřičnou pozornost. V následujících kapitolách vás volbou televizoru stručně a přehledně...

2. prosince 2024

Výrobci TV utíkají od Googlu. Titan potěšil rychlostí, zaskočil reklamou

Vyzkoušeli jsme televizor s novým operačním systémem Titan, jenž postupně nahradí Google TV v televizorech Philips. V budoucnu se však může objevit i v přístrojích jiných značek. Je to v Evropě...

4. prosince 2024

Jak Sovětský svaz napadl neutrální Finsko a co byl mainilský incident

Zimní válka proti Finsku byla jednou z dobyvačných válek vedených Moskvou. Cílem zimní války bylo připojit menší část finského území k Sovětskému svazu a na té větší ustanovit loutkovou Finskou...

5. prosince 2024

Unboxing notebooku Apple za 184 450 Kč. Dává vám taková konfigurace smysl?

Do redakce dorazil nový šestnáctipalcový MacBook Pro v doslova brutální konfiguraci. Nejvyšší verze procesoru M4 Max, nejvíce paměti co Apple nabízí a druhé největší úložiště. Takovýto stroj ani my...

9. prosince 2024

Hráčům mobil nebo notebook nestačí. Potřebují pořádný stroj

Advertorial

Stolní počítače nelze v jednom segmentu trhu nahradit. Hráči potřebují výkon a ten jim jiný typ počítačů běžně nenabídne. Počítače BARBONE, speciálně navržené pro hráče, pořídíte již od 17 tisíc...

9. prosince 2024

Mohou existovat dva stejné QR kódy? A kdy dojdou?

Setkáváme se s nimi prakticky všude. V kině, v divadle, v obchodě, na internetu, při placení složenek atd. Jsou užitečnými pomocníky. Řeč je o QR kódech. Pokud jich existuje tak obrovské množství,...

9. prosince 2024

Američané za druhé světové války ukázali cestu, po které se vydat s vrtulníky

Během druhé světové války se dočkaly operačního nasazení tři typy amerických vrtulníků. Nový druh vojenské letecké techniky se teprve rozvíjel, obecně se v té době jednalo o stroje lehké s malou...

8. prosince 2024

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Velký test másla: Nejlahodnější vzorek nebyl ani bio, ani z alpského mléka

Premium Lahodné máslo, které chutná a voní po smetaně, nemusí stát majlant. Jenže napěchovat jím mrazák, když je zrovna v akci,...

Hrála v pornu, tak skončila. Solfronk se v Bacheloru rozloučil s další účastnicí

Odhalení o minulosti soutěžící Denisy Veselé a jejím natáčení pornovideí výrazně zamávalo atmosférou v sídle Bachelora....

Obraz zmaru Volkswagenu. Tisíce elektroaut smutně čekají na kupce

„Pacient Autoland Deutschland je nejen nemocný, má vysokou horečku,“ píše německý Bild. A jako důkaz diagnózy ukazuje...

Došly nám síly. Česká specialistka na cupcaky zavírá svůj obchod

Lenka Hnidáková, průkopnice cupcaků v Česku a autorka dvou knih o těchto dezertech, zavírá svůj obchod v pražském...

Příliš velké sousto. Smetanová cukrárna dopekla, věřitelům dluží stamiliony

Pražská Smetanová cukrárna, která dodávala své cukrářské výrobky téměř do všech obchodních řetězců, ukončila svůj...