A Pesquisa Google é sequestrada apenas quando não está sendo observada. Anexar um depurador retorna resultados normais

tag-icon tag-icon google-chrome fiddler hijack debugger
A Pesquisa Google é sequestrada apenas quando não está sendo observada. Anexar um depurador retorna resultados normais

Eu não consigo entender isso. Percebi que meus resultados de pesquisa estavam um pouco "diferentes" ultimamente.

  • Não estou conectado quando faço uma pesquisa no Google, mas se clicar em "Imagens" ou "Vídeos", aparece como conectado.
  • Não há informações da Wikipedia na barra lateral da página de pesquisa.
  • Se eu desabilitar o Ghostery e o uBlock, muitos dos resultados serão anúncios.

Decidi verificar as ferramentas do desenvolvedor e percebi que havia um SyntaxError na página, cliquei nele e ele realmente leva a uma função javascript que substitui o endereço da web do Google.

O problema parece ocorrer apenas no Chrome, aqui está lado a lado com o Firefox: http://i.imgur.com/7J1G9mR.png

Tentei anexar o Fiddler Web Debugger para capturar o tráfego para poder ver para onde estou sendo redirecionado.Mas assim que eu anexei um depurador da web, tudo desapareceu e a página de pesquisa real foi exibida...A origem da página quando o Fiddler está capturando é completamente diferente.

Abaixo está um gifv de captura de tela mostrando isso. Ele começa com a página sequestrada e eu circulo meu cursor em torno de alguns arquivos de origem javascript adicionais incompletos. Em seguida, digo ao Fiddler para capturar o tráfego e atualizar meus resultados de pesquisa. A página que recebo é completamente diferente. Por fim, desativo a captura de tráfego novamente e atualizo a página para mostrar a página sequestrada e levo você para a função com o erro de sintaxe que deveria substituir o endereço da web.

http://i.imgur.com/gbWkkLp.gifv

Executei o Malwarebytes e não obtive resultados. O Spybot apresentou alguns resultados, mas removê-los não resolveu o problema. Também redefini completamente o Chrome usando a ferramenta fornecida pelo Google. Se eu usar um perfil da web diferente, como aquele em que faço minhas contas, não obtenho resultados de pesquisa. Se eu ativar o violinista, de repente obtenho resultados. insira a descrição da imagem aqui

Responder1

Algum malware provavelmente estava se passando porViolinista, como o desenvolvedor original do Fiddler,Érico Lourenço, destacou:

Vários malwares verificam se o Fiddler está em uso e, em caso afirmativo, param de realizar suas atividades maliciosas para tentar ocultar suas ações.

(fonte)

Fiddler é uma ferramenta de depuração da web. Ele não tem nenhum comportamento malicioso e nunca é instalado, a menos que você o instale pessoalmente usando o instalador baixado do Telerik. O cenário descrito aqui é um malware que tenta evitar a detecção, fazendo-se parecer com o Fiddler.

(fonte)

Comportamento

O sinal mais claro de malware é que o Google Chrome não carrega sites HTTPS conforme planejado, a menos que você esteja usando o Fiddler para capturar tráfego. O Fiddler não foi projetado para interferir na sua navegação normal na web quando não está em uso.

Para que o malware se esconda, ele precisa sequestrar o proxy Fiddler e renunciar ao tráfego HTTPS com a chave privada do certificado Fiddler. É trivialalterar as configurações de proxy, e é possívelobtenha uma cópia da chave privada da instalação do Fiddler.

Certificado Raiz

Você fez com que o Fiddler instalasse um certificado raiz em seu computador, o que permite que ele se insira como umhomem no meio(MitM) para monitorar o conteúdo dos dados enviados por HTTPS:

Captura de tela de https://superuser.com/questions/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

Em contraste, veja comohttps://www.google.com/normalmente é confiável:

Captura de tela da cadeia de segurança HTTPS adequada do Google

Seu computador confia no DO_NOT_TRUST_FiddlerRootcertificado porque ele foi instalado no armazenamento confiável de certificados do seu sistema operacional.

Proxy para interceptar HTTPS

Você indicou que o HTTPS se comporta corretamente no Mozilla Firefox, que pode ser configurado para usar suas próprias regras de proxy independentes em vez das regras de proxy do sistema operacional. O Google Chrome usa o proxy do sistema operacional sem uma opção fácil de fazer o contrário.

Passando pelo proxy em nível de sistema operacional do Fiddler, o Fiddler agora pode ser o MitM para capturar dados HTTPS não criptografados enquanto ainda atende o site. O Fiddler busca alguma página da web e a assina como "www.google.com" usando o certificado confiável anteriormente, DO_NOT_TRUST_FiddlerRoot.

Nessas circunstâncias, o malware pode assumir o controle do proxy e do certificado para fornecer o site errado e, ao mesmo tempo, mostrar o site errado.ícone de cadeado verde. Posso ver que isso leva a elaborados ataques de phishing.

Preocupações com segurança

Relacionado no Security Stack Exchange:Quais riscos de segurança são apresentados por fornecedores de software que implantam proxies de interceptação SSL em desktops de usuários

ComoEric Lawrence escreveu uma vez,

Os recursos de interceptação HTTPS do Fiddler (com razão) levantam as sobrancelhas entre os usuários preocupados com a segurança.

É por isso que o Fiddler alerta sobre as implicações de segurança da interceptação do tráfego HTTPS:

Captura de tela de um aviso integrado do Fiddler

Por erro do usuário ou instalação de malware, o Fiddler tem sido associado a vários problemas:

Embora o Fiddler em si não seja um programa prejudicial, seu uso indevido e mal-entendidos levaram amá reputaçãoevírus fingindo ser Fiddler.

Remoção

Não sei se o seu computador foi comprometido por algum sequestrador do Fiddler, masvocê indicouque você não tem tempo para limpar seu computador e reinstalá-lo, então esperamos que as etapas a seguir possam se livrar do Fiddler e restaurar o comportamento seguro adequado da web. (Eu ainda recomendaria reinstalar e alterar suas senhas posteriormente, especialmente se você leva segurança a sério. Você escreveu que o Spybot – Search & Destroy encontrou algum malware.)

Prefácio: Desconfigurar o Fiddler

O pôster original descobertoessas etapas adicionaispara resolver seu problema com o Fiddler:

Em última análise, o que corrigiu foi: Configurações -> Mostrar configurações avançadas -> Em rede -> Alterar configurações de proxy -> Avançado -> Redefinir

e

Também nas configurações do Fiddler, desativei as opções que permitem descriptografar o tráfego HTTPS antes de desinstalar e limpar novamente os certificados.

Remover certificado(s) raiz do Fiddler

  1. Pressione Win+r
  2. Abrir:certmgr.msc
  3. Examine todas as pastas e remova o DO_NOT_TRUST_FiddlerRootcertificado.

Desinstalar o violinista

  1. Vá para Painel de Controle »Programas» Programas e Recursos.
  2. Desinstale o Fiddler. Uma fontediz que o Fiddler pode ser chamado de "FiddlerRoot" ou "BrowserSafeguard".

Limpar configurações de proxy

Supondo que você normalmente não usa um proxy diferente…

  1. Vá para Painel de Controle »Opções da Internet.
  2. Em Propriedades da Internet, vá até a aba “Conexões”.
  3. Em "Configurações de rede local (LAN)", clique em "Configurações de LAN".
  4. Limpe e desmarque suas configurações de proxy assim:Captura de tela das configurações da rede local (LAN)

Remover malware

Comosugerido anteriormente em Superusuário, você deve tentar encontrar e remover o malware original que exibia páginas HTTPS modificadas.

Conselho detalhado:
Como posso remover spyware, malware, adware, vírus, trojans ou rootkits maliciosos do meu PC?

informação relacionada