Очередная вредоносная рекламная программа оказалась в центре внимания. Она также внедряется в HTTPS-соединения, но является более опасной, чем Superfish, которая предустанавливалась на новые ноутбуки Lenovo, произведенные в самом конце 2014 года.
PrivDog была разработана основателем и главой Comodo Мелихом Абдулхайоглу (Melih Abdulhayoglu). PrivDog идет в пакете с одним из флагманских продуктов Comodo, Comodo Internet Security, но только как расширение браузера. Уязвимой же является обычная версия.
Эксперт Ханно Бок (Hanno Bock) сообщил о том, что PrivDog, как и Superfish, устанавливает свой собственный сертификат и ломает SSL-соединения, создавая уязвимость для атак «человек посередине», которую может эксплуатировать кто угодно, способный перехватывать траффик. Однако Бок сказал, что хотя PrivDog не содержит такой явной уязвимости как Superfish, она, скорее, создает еще большие проблемы для пользователей.
«PrivDog перехватывает все сертификаты и заменяет их сертификатом, подписанным своим корневым ключом. Это касается и недействительных сертификатов, – сказал Бок. – Он заставит ваш браузер принимать любой сертификат HTTPS, подписан ли он удостоверяющим центром, или нет. Мы еще пытаемся выяснить подробности, но все выглядит очень плохо».
Что касается Superfish, который использует библиотеку, выполняющую SSL-перехват, называющуюся Komodia SSL Digester, поставляется с одним и тем же цифровым сертификатом и ключом шифрования в каждой инсталляции. Позже вебсайт Komodia подвергся DDoS-атаке. Исследователь Роб Грэхем (Rob Graham) из Errata Security через несколько часов после того, как было опубликовано описание уязвимости Superfish, сообщил, что он смог извлечь закрытый ключ, защищающий сертификат.
Поведение PrivDog иное: последняя версия PrivDog, 3.0.96.0 содержит уязвимость и доступна в качестве отдельной программы. До этого программа поставлялась лишь как расширение браузера в пакете в Comodo Internet Security. Это расширение, по словам Бока, не является уязвимым напрямую. Информационное сообщение о PrivDog называет уязвимость «незначительным нерегулярным дефектом», влияющим на «очень малое число пользователей». Организация сообщила, что в мире 57 тысяч пользователей подвержены уязвимости, из них 6,3 тысячи в США.
«В определенных условиях самоподписанные сертификаты не вызывают появления предупреждения браузера, но шифрование все еще предоставляется, поэтому безопасность не страдает, – говорится в сообщении о PrivDog, – Потенциальные проблемы имеют место только если пользователь заходит на сайт, который подписан самодельным сертификатом». Группа реагирования на компьютерные инциденты института программной разработки Университета Карнеги-Меллон, работающая под эгидой Министерства внутренней безопасности США, выпустила предупреждение об этой уязвимости. Министерство сообщает, что возможности атаки «человек посередине» в PrivDog обеспечиваются NetFilter SDK.
«Несмотря на то, что сертификат корневого удостоверяющего центра создается в момент установки, что обеспечивает различные сертификаты для каждой установки, PrivDog не использует возможности по проверки SSL-сертификата, которые обеспечивает NetFilter SDK, – говорится в сообщении. – Это означает, что веб-браузеры не будут отображать какие-либо предупреждения, при посещении поддельных вебсайтов или вебсайтов с «человеком посередине».
Так же как и в случае Superfish, проблема обнаружена более чем в дюжине других приложений. Исследователи из команды информационной безопасности Facebook опубликовали отчет, в котором говорится, что все эти приложения содержатся в базе VirusTotal с их вредоносными библиотеками Komodia.
«Мы не можем уверенно утверждать, каковы цели эти приложений, но ни одно из них не объясняет, зачем перехватывает SSL-траффик, и что делает с этими данными», – сказал Мэтт Ричард (Matt Richard), исследователь из Facebook. Ричард также опубликовал список авторов сертификатов и сообщил, что список включает сертификаты на более чем тысяче систем в приложениях, в том числе в играх и генераторах всплывающих окон.
Superfish начали предустанавливать на машины Lenovo в прошлом сентябре и практически сразу клиенты начали жаловаться на его действия. Хортенсус сообщил, что Lenovo больше не будет поставлять компьютеры с Superfish. Компания предоставила способ исправления проблемы вручную в течение нескольких часов после опубликования описания уязвимости, а в дальнейшем выпустила автоматический патч. Компания также работает с Microsoft и несколькими корпорациями, в которых информационная безопасность превыше всего, чтобы отключить и удалить Superfish с компьютеров.
