Premium

Získejte všechny články
jen za 89 Kč/měsíc

Otestujte své PC. Závažná bezpečnostní chyba je i v některých antivirech

  15:00
V antivirových balících Comodo a Ad-Aware Web Companion je podle bezpečnostních odborníků stejná chyba, kterou ve svých noteboocích distribuovalo Lenovo. Umožňuje, bez ohledu na SSL certifikát, proniknout do zabezpečené komunikace webového prohlížeče se serverem.
Otestujte si, zda i váš prohlížeč nepracuje s chybnými SSL certifikáty.

Otestujte si, zda i váš prohlížeč nepracuje s chybnými SSL certifikáty. | foto: screenshot Technet.czProfimedia.cz

Z ostudy kabát si minulý týden ušilo Lenovo. Zjistilo se totiž, že v jejich noteboocích předinstalovaná aplikace Superfish obsahuje závažnou bezpečnostní chybu. Ta umožní prolomení zabezpečeného HTTPS spojení, které se používá například v on-line bankovnictví, přístupech do e-mailových schránek a dalších systémů.

Superfish

v noteboocích Lenovo

Jako pomoc majitelům notebooků Lenovo umístili bezpečnostní experti na webovou adresu filipo.io/Badfish jednoduchý test, který ověří, zda není počítač uživatele touto chybou ohrožen. Překvapením však bylo, že jako ohrožené byly diagnostikovány i některé počítače, ve kterých program Superfish prokazatelně nebyl.

Na pozadí problémů jsou opět reklamy

Na diskuzním fóru Hacker News se tak rozběhlo pátrání po příčině, a tou se ukázal antivirový balík Comodo, respektive jeho reklamní manažer PrivDog. Průšvih Lenova tak paradoxně pomohl odhalit nejspíše ještě závažnější chybu. 

PrivDog je aplikace, která vyhodnocuje reklamy na zobrazovaných webových stránkách a ty, které nepocházejí z „důvěryhodného“ zdroje, nahrazuje vlastními, „bezpečnými“ reklamami. Podle záměru tvůrce by se tím měl snížit počet bezpečnostních útoků, při kterých je škodlivý kód propašován na důvěryhodnou webovou stránku pomocí škodlivého kódu v reklamním baneru.

PrivDog však v rámci této činnosti „podstrkuje“ prohlížeči SSL certifikáty, které sám generuje. Což by nebylo tak hrozné, kdyby při této proceduře ověřoval pravost certifikátu vydaném komunikujícím serverem (a certifikační autoritou). PrivDog jej však neověřuje a naopak potvrdí pravost jakéhokoli „sám sebou podepsaného“ certifikátu (self-signed certificate). A ten může být i útočníkův. Zkráceně řečeno, PrivDog zcela diskredituje zabezpečenou komunikaci prohlížeče se serverem.  

Takto by to mělo vypadat. Certifikát patří provozovateli webu a je ověřený autoritou. Pokud by certifikát patřil nějaké aplikaci ve vašem počítači, může to znamenat problém.

„Dokud se budou používat metody ´porušení řetězu důvěry´, vždy se stane, že to někdo implementuje naprosto špatně,“ uvedl pro americký server PC World Amichai Shulman, ředitel bezpečnostní společnosti Imperva. “Chyba v Superfish využívala všude stejný kořenový certifikát, chyba v PrivDog neověřuje certifikáty vůbec," doplnil Shulman.

Takto by to naopak vypadat nemělo. Certifikát „Bank of America“ není ověřen autoritou, ale vydán programem PrivDog. (screenshot uživatele babawere zveřejněný na webu Hacker News)

Řešením je aplikaci okamžitě odinstalovat.

Comodo v tom není samo

Podobný problém má podle serveru Techradar i bezpečnostní program Ad-aware Web Companion od společnosti Lavasoft. Ten totiž pro zpracování zabezpečeného síťového provozu používá stejnou technologii od společnosti Komodia, jaká byla implementována v aplikaci Superfish.

Tuto technologii využívá ve svých aplikacích více softwarových společností, rozsáhlost této „bezpečnostní díry“ tedy ještě nelze odhadovat. Doporučujeme proto svůj systém otestovat jednoduchým webovým testem a postižené aplikace odinstalovat.

  • Nejčtenější

Hoffmann nechal vypnout rozhlas. Jako jeden z mála komunistů skončil ve vězení

v diskusi je 54 příspěvků

15. června 2024

Před 100 lety se narodil Karel Hoffmann, člen konzervativní kliky uvnitř KSČ, který během okupace v...

Vyhlídkový raketoplán Richarda Bransona letěl naposledy

v diskusi je 13 příspěvků

14. června 2024

Minulou sobotu se uskutečnil historicky poslední let raketoplánu SpaceShipTwo se čtyřmi pasažéry na...

{NADPIS}

{LABEL} {POPISEK}

Apple naučil sluchátka nové kousky a chystá se zaplavit vaše obrazovky

v diskusi jsou 2 příspěvky

11. června 2024

Ačkoli byla konference WWDC především o novinkách v operačních systémech a představení „AI“ jako...

Když astronauti na ISS spali, diváky přenosu ze stanice vyděsilo vysílání

v diskusi je 6 příspěvků

13. června 2024  10:15

Americký úřad pro letectví a vesmír na jednom ze svých kanálů vysílá přímý přenos z Mezinárodní...

{NADPIS}

{LABEL} {POPISEK}

Apple nám ukázal novinky a kde všude nasadil umělou inteligenci

v diskusi jsou 4 příspěvky

10. června 2024  18:27,  aktualizováno 

V pondělí začal Apple ukazovat novinky v softwarových produktech. Na každoroční konferenci WWDC se...

Ruské radary včasné výstrahy. Ani jim neprospívá válka proti Ukrajině

v diskusi nejsou příspěvky

17. června 2024

V předposledním květnovém týdnu ukrajinské drony zřejmě zasáhly ruské radarové stanice u měst...

Už 100 let mohou fotbalisté vstřelit gól přímo z rohu

v diskusi je 11 příspěvků

16. června 2024

Už 100 let mohou dát fotbalisté gól přímo z rohu. V červnu 1924 tuto možnost otevřelo svým...

Jakmile zacvaknou kola, přijde uvolnění. Z Austrálie domů v letadle z roku 1960

v diskusi je 5 příspěvků

16. června 2024

Na konci ledna přistála na letišti v Podhořanech nedaleko Chrudimi malá formace letadel v čele s...

Hoffmann nechal vypnout rozhlas. Jako jeden z mála komunistů skončil ve vězení

v diskusi je 54 příspěvků

15. června 2024

Před 100 lety se narodil Karel Hoffmann, člen konzervativní kliky uvnitř KSČ, který během okupace v...

Skandál kolem morbidně obézní Miss Alabama. Co se ztratilo mezi řádky

Sociální sítě počátkem června rozvášnila obézní plus size modelka Sara Millikenová oceněná titulem Miss Alabama 2024....

Do Itálie se nevrátím, tady vše funguje lépe, říká dcera Petra Hapky

Dcera slavného českého hudebníka Petra Hapky (†70) Petra (41) žila od 3 let s matkou v italském Římě. Ve 29 letech se...

Koupil byt i s nájemníkem a zdražil o sedm tisíc. Chce výnos 4,5 procenta

Seriál Našel jsem si nájemní byt, ve kterém bydlím několik měsíců. Platím 17 tisíc korun za nájem a k tomu měsíční poplatky za...

Čekám na transplantaci, ale dám přednost mladým, říká herec Zdeněk Žák

Herec Zdeněk Žák (71) si nikdy moc nepřipouštěl své zdravotní problémy. Nemoci přecházel a k doktoru se nehnal, až...

Jen ať mě kritizují, moje šperky vydělávají, říká zpěvačka Lucie Bílá

Zatím jí to pořád zpívá, ale i Lucie Bílá (58) si uvědomuje, že jednou její kariéra skončí. Hlava ji z toho ovšem...