作为一名Windows用户，这是一段可怕的时期。联想捆绑了HTTPS劫持SuPerfish广告软件，Comodo附带了一个更严重的安全漏洞PrivDog，Lavasoft等数十个其他应用也在做同样的事情。这真的很糟糕，但如果你想让你的加密网络会话被劫持，只要去CNET下载或任何免费软件网站就可以了，因为它们现在都在捆绑HTTPS破解广告软件。

相关：以下是当您安装排名前10的Download.com应用程序时会发生的情况

SuPerfish的惨败始于研究人员注意到，捆绑在联想电脑上的SuPerfish在Windows中安装了一个假的根证书，实质上是劫持了所有HTTPS浏览，以便证书即使不是有效的，也总是看起来有效，而且他们做的方式非常不安全，以至于任何脚本儿童黑客都可以完成同样的事情。

然后，他们会在你的浏览器中安装一个代理，强迫你浏览，这样他们就可以插入广告。这是正确的，即使你连接到你的银行，或医疗保险网站，或任何应该是安全的地方。你永远不会知道，因为他们破解了Windows加密来向你展示广告。

但可悲的事实是，他们并不是唯一这样做的人--Wajam、Geniusbox、Content Explorer和其他广告软件都在做完全相同的事情，安装自己的证书，并强制您的所有浏览(包括HTTPS加密浏览会话)通过它们的代理服务器。而你只需安装CNET下载排名前十的应用程序中的两个，就可以感染这种无稽之谈。

底线是，您不能再信任浏览器地址栏中的绿色锁定图标。这是一件非常非常可怕的事情。

HTTPS劫持广告软件是如何工作的，为什么它如此糟糕

正如我们之前所展示的，如果您犯了信任CNET下载的巨大错误，您可能已经感染了这种类型的广告软件。CNET上排名前十的下载中有两个(Kmplayer和YTD)捆绑了两种不同类型的HTTPS劫持广告软件，在我们的研究中，我们发现大多数其他免费软件网站都在做同样的事情。

注：安装程序非常棘手，令人费解，我们不确定从技术上讲是谁在做“捆绑”，但CNET在他们的主页上推广这些应用程序，所以这实际上是一个语义问题。如果你推荐人们下载一些不好的东西，你也同样有错。我们还发现，这些广告软件公司中的许多公司都是秘密使用不同公司名称的同一人。

仅根据CNET下载排行榜前10名的下载数字，每月就有100万人感染广告软件，这些软件劫持了他们与银行的加密网络会话，或者电子邮件，或者任何应该是安全的东西。

如果您错误地安装了Kmplayer，并且设法忽略了所有其他垃圾软件，您将看到这个窗口。如果您不小心点击了Accept(或按错了键)，您的系统将被按下。

如果你最终从一个更粗略的来源下载了一些东西，比如你最喜欢的搜索引擎中的下载广告，你会看到一整张不好的东西的清单。现在我们知道，它们中的许多都会完全破坏HTTPS证书验证，使您完全容易受到攻击。

一旦您感染了这些东西中的任何一种，第一件事就是它将您的系统代理设置为通过它安装在您的计算机上的本地代理来运行。请特别注意下面的“安全”项。在这种情况下，它来自Wajam互联网“增强器”，但它可以是SuPerfish或Geniusbox，或者我们找到的任何其他公司，它们的工作方式都是一样的。

当你去一个应该是安全的网站时，你会看到绿色的锁图标，一切看起来都会完全正常。您甚至可以单击锁来查看详细信息，看起来一切都很好。您正在使用安全连接，甚至连Google Chrome都会报告您已通过安全连接连接到Google。但是您没有！

System Alerts LLC不是一个真正的根证书，您实际上正在通过一个中间人代理将广告插入页面(谁知道还有什么)。你应该把你所有的密码都通过电子邮件发送给他们，这样会更容易。

一旦安装了广告软件并代理了你所有的流量，你就会开始看到到处都是令人讨厌的广告。这些广告会显示在安全的网站上，比如谷歌，取代实际的谷歌广告，或者它们会以弹出窗口的形式出现在各处，占据每一个网站。

大多数广告软件都会显示指向完全恶意软件的“广告”链接。因此，虽然广告软件本身可能是法律上的麻烦，但它们会带来一些非常非常糟糕的东西。

他们通过将伪造的根证书安装到Windows证书存储中，然后代理安全连接，同时使用伪造的证书对其进行签名来实现这一点。

如果您查看Windows证书面板，您可以看到各种完全有效的证书…。但是如果你的电脑上安装了某种类型的广告软件，你就会看到诸如系统警报、有限责任公司、SuPerfish、Wajam或其他几十种虚假的东西。

即使您已经被感染，然后删除了恶意软件，证书可能仍然在那里，使您容易受到其他黑客的攻击，这些黑客可能已经提取了私钥。当您卸载证书时，许多广告软件安装程序不会删除证书。

它们都是中间人攻击，它们的工作原理如下

如果您的PC在证书存储中安装了假根证书，则您现在很容易受到中间人攻击。这意味着，如果你连接到一个公共热点，或者有人访问了你的网络，或者设法侵入了你上游的东西，他们就可以用假网站取代合法网站。这听起来可能有些牵强，但黑客已经能够利用网络上一些最大的网站上的DNS劫持来劫持用户到一个虚假的网站。

一旦你被劫持，他们可以读取你提交给私人网站的每一件东西-密码、私人信息、健康信息、电子邮件、社会保险号、银行信息等。而且你永远不会知道，因为你的浏览器会告诉你，你的连接是安全的。

这是可行的，因为公钥加密既需要公钥又需要私钥。公钥安装在证书存储中，私钥应该只由您访问的网站知道。但是，当攻击者可以劫持您的根证书并同时持有公钥和私钥时，他们可以做任何他们想做的事情。

在SuPerfish的案例中，他们在每台安装了SuPerfish的电脑上使用相同的私钥，在几个小时内，安全研究人员就能够提取私钥并创建网站来测试你是否易受攻击，并证明你可能被劫持。对于Wajam和Geniusbox，密钥是不同的，但是Content Explorer和其他一些广告软件也在所有地方使用相同的密钥，这意味着这个问题并不是SuPerfish独有的。

更糟糕的是：这些垃圾中的大多数都完全禁用了HTTPS验证

就在昨天，安全研究人员发现了一个更大的问题：所有这些HTTPS代理都禁用了所有验证，同时让它看起来一切正常。

这意味着您可以访问具有完全无效证书的HTTPS网站，该广告软件会告诉您该站点是正常的。我们测试了之前提到的广告软件，它们都完全禁用了HTTPS验证，所以私钥是否唯一并不重要。糟糕得令人震惊！

任何安装了广告软件的人都容易受到各种攻击，而且在许多情况下，即使删除了广告软件，也仍然容易受到攻击。

您可以使用安全研究人员创建的测试站点检查您是否易受SuPerfish、Komodia或无效证书检查的攻击，但正如我们已经证明的那样，有更多的广告软件在做同样的事情，根据我们的研究，情况将继续变得更糟。

保护您自己：检查证书面板并删除错误条目

如果您担心，您应该检查您的证书存储库，以确保您没有安装任何粗略的证书，这些证书可能稍后会被某人的代理服务器激活。这可能有点复杂，因为里面有很多东西，而且大部分都应该在那里。我们也没有一个很好的清单，列明什么应该出现，什么不应该出现。

使用Win+R打开运行对话框，然后键入“mmc”以打开Microsoft管理控制台窗口。然后使用“文件”->“添加/删除管理单元”，从左侧列表中选择“证书”，然后将其添加到右侧。确保在下一个对话框中选择Computer Account(计算机帐户)，然后单击其余部分。

您将希望转到受信任的根证书颁发机构，并查找类似于其中任何一个(或类似于这些)的非常粗略的条目

森多利。 纯铅。 火箭选项卡。 超级鱼。 查找此信息。 潘多。 瓦卡姆。 WajaNEnhance。 DO_NOT_TRUSTFIDDLER_ROOT(Fiddler是合法的开发工具，但恶意软件劫持了他们的证书)。 系统警报，有限责任公司。 CE_UmbrellaCert

右键单击并删除找到的任何条目。如果您在浏览器中测试Google时看到不正确的内容，请确保也将其删除。只是要小心，因为如果您在这里删除了错误的内容，您会破坏Windows。

我们希望Microsoft发布一些内容来检查您的根证书，并确保只有好的根证书在那里。从理论上讲，您可以使用Microsoft提供的Windows所需证书列表，然后更新到最新的根证书，但这在这一点上完全未经测试，我们真的不推荐这样做，直到有人对此进行测试。

接下来，您需要打开Web浏览器并找到可能缓存在那里的证书。对于Google Chrome，请转到“设置”、“高级设置”，然后选择“管理证书”。在Personal(个人)下，您可以轻松地单击任何坏证书…上的Remove(删除)按钮

但是，当您转到受信任的根证书颁发机构时，您必须单击高级，然后取消选中您看到的所有内容，才能停止向该证书…授予权限

但那简直是疯了。

相关：停止尝试清理受感染的计算机！只需启动它并重新安装Windows即可

进入高级设置窗口底部，点击重置设置，将Chrome完全重置为默认设置。对您正在使用的任何其他浏览器执行相同的操作，或者完全卸载，擦除所有设置，然后重新安装。

如果您的计算机已受到影响，您最好进行完全干净的Windows安装。只需确保备份您的文档和图片以及所有这些内容即可。

那么你怎么保护自己呢？

要完全保护自己几乎是不可能的，但这里有一些常识准则可以帮助你：

检查SuPerfish/Komodia/认证验证测试站点。 在浏览器中启用插件的点击即玩功能，这将有助于保护您免受零日Flash和其他插件安全漏洞的影响。 下载时一定要小心，在绝对必要的情况下尽量使用NINNITE。 无论何时单击，都要注意您正在单击的内容。 考虑使用Microsoft的增强型缓解体验工具包(EMET)或MalwareBytes反利用来保护您的浏览器和其他关键应用程序免受安全漏洞和零日攻击。 确保您的所有软件、插件和防病毒软件保持更新，这也包括Windows更新。

但是，仅仅想要在不被劫持的情况下浏览网页，这是一项可怕的工作。就像和运输安全管理局打交道一样。

Windows生态系统是一队垃圾软件。现在，对于Windows用户来说，互联网的基本安全已经被打破了。微软需要解决这个问题。