Google Search захватывается только тогда, когда не наблюдается. Присоединение отладчика возвращает нормальные результаты

tag-icon tag-icon google-chrome fiddler hijack debugger
Google Search захватывается только тогда, когда не наблюдается. Присоединение отладчика возвращает нормальные результаты

Я не могу понять это. Я заметил, что мои результаты поиска стали немного «другими» в последнее время.

  • Я не вошел в систему, когда выполняю поиск в Google, но если я нажимаю «Изображения» или «Видео», то отображается, что я вошел в систему.
  • На боковой панели страницы поиска нет информации из Википедии.
  • Если я отключу Ghostery и uBlock, многие результаты будут представлять собой рекламу.

Я решил проверить инструменты разработчика и заметил на странице ошибку SyntaxError. Я нажал на нее, и она фактически привела к функции JavaScript, которая заменяет веб-адрес Google.

Проблема, похоже, возникает только в Chrome, вот сравнение с Firefox: http://i.imgur.com/7J1G9mR.png

Я попытался подключить Fiddler Web Debugger для захвата трафика, чтобы видеть, куда меня перенаправляют.Но как только я подключаю веб-отладчик, все исчезает, и я попадаю на настоящую страницу поиска...Исходный код страницы при захвате Fiddler совершенно другой.

Ниже приведен снимок экрана gifv, на котором это показано. Он начинается с захваченной страницы, и я обвожу курсором несколько дополнительных исходных файлов javascript. Затем я говорю Fiddler захватить трафик и обновить результаты поиска. Страница, которую я получаю, совершенно другая. Наконец, я снова отключаю захват трафика и обновляю страницу, чтобы показать захваченную страницу и перенаправить вас к функции с синтаксической ошибкой, которая должна заменить веб-адрес.

http://i.imgur.com/gbWkkLp.gifv

Я запустил Malwarebytes и не получил никаких результатов. Spybot выдал несколько результатов, но их удаление не решило проблему. Я также полностью сбросил настройки Chrome с помощью предоставленного Google инструмента. Если я использую другой веб-профиль, например, тот, в котором я оплачиваю счета, я не получаю результатов поиска. Если я включаю fiddler, я внезапно получаю результаты. введите описание изображения здесь

решение1

Вероятно, какая-то вредоносная программа выдавала себя заСкрипач, как первоначальный разработчик Fiddler,Эрик Лоуренс, указал:

Различные вредоносные программы проверяют, используется ли Fiddler, и если да, то прекращают вредоносную деятельность, пытаясь скрыть свои действия.

(источник)

Fiddler — это инструмент веб-отладки. Он не имеет никакого вредоносного поведения и никогда не устанавливается, если вы лично не установите его с помощью установщика, загруженного с Telerik. Описанный здесь сценарий — это вредоносная программа, которая пытается избежать обнаружения, выдавая себя за Fiddler.

(источник)

Поведение

Самый явный признак вредоносного ПО — это то, что Google Chrome не загружает HTTPS-сайты, как положено, если только вы не используете Fiddler для захвата трафика. Fiddler не предназначен для того, чтобы мешать вашему обычному просмотру веб-страниц, когда он не используется.

Чтобы вредоносная программа могла скрыться, ей необходимо захватить прокси-сервер Fiddler и переподписать HTTPS-трафик с помощью закрытого ключа сертификата Fiddler. Это тривиальноизменить настройки прокси, и это возможнополучите копию закрытого ключа вашей установки Fiddler.

Корневой сертификат

Вы заставили Fiddler установить корневой сертификат на ваш компьютер, что позволяет ему вставлять себя в качествечеловек посередине(MitM) для мониторинга содержимого данных, отправляемых по протоколу HTTPS:

Скриншот с https://superuser.com/questions/1034394/google-search-hijacked-only-when-not-being-observed-attaching-a-debugger-return?noredirect=1#comment1443606_1034394

Напротив, вот какhttps://www.google.com/обычно доверяют:

Скриншот правильной цепочки безопасности Google HTTPS

Ваш компьютер доверяет DO_NOT_TRUST_FiddlerRootсертификату, поскольку он был установлен в хранилище доверенных сертификатов вашей операционной системы.

Прокси для перехвата HTTPS

Вы указали, что HTTPS ведет себя правильно в Mozilla Firefox, который можно настроить на использование собственных независимых правил прокси, а не правил прокси операционной системы. Google Chrome использует прокси операционной системы без простой возможности сделать иначе.

Проходя через прокси-сервер операционной системы Fiddler, Fiddler теперь может быть MitM для захвата незашифрованных данных HTTPS, продолжая при этом обслуживать сайт. Fiddler извлекает некоторую веб-страницу, затем подписывает ее как "www.google.com", используя сертификат, который был доверенным ранее, DO_NOT_TRUST_FiddlerRoot.

При таких обстоятельствах вредоносное ПО может захватить контроль над прокси-сервером и сертификатом, чтобы перенаправить вас на неправильный сайт, при этом продолжая показывать вамзеленый значок замка. Я вижу, что это приводит к изощренным фишинговым атакам.

Проблемы безопасности

Похожие материалы по теме Security Stack Exchange:Какие риски безопасности возникают, когда поставщики программного обеспечения развертывают прокси-серверы SSL Intercepting на рабочих столах пользователей?

КакЭрик Лоуренс однажды написал,

Возможности перехвата HTTPS-трафика в Fiddler (и это справедливо) вызывают недоумение у пользователей, заботящихся о безопасности.

Вот почему Fiddler предупреждает о последствиях перехвата HTTPS-трафика для безопасности:

Скриншот встроенного предупреждения Fiddler

Из-за ошибок пользователей или установки вредоносного ПО Fiddler может вызывать различные проблемы:

Хотя сама по себе программа Fiddler не является вредоносной, ее неправильное использование и недопонимание привели к прошлымплохая репутацияивирусы, притворяющиеся Fiddler.

Удаление

Я не знаю, был ли ваш компьютер взломан каким-то угонщиком Fiddler, ноВы указаличто у вас нет времени на очистку компьютера и переустановку, поэтому, надеюсь, следующие шаги помогут избавиться от Fiddler и восстановить надлежащее безопасное поведение в Интернете. (Я бы все равно рекомендовал переустановить систему и сменить пароли после этого, особенно если вы серьезно относитесь к безопасности. Вы написали, что Spybot – Search & Destroy обнаружил вредоносное ПО.)

Предисловие: деконфигурация Fiddler

Оригинальный постер обнаруженэти дополнительные шагичтобы решить свою проблему с Фидлером:

В конечном итоге это исправилось так: Настройки -> Показать дополнительные настройки -> В разделе «Сеть» -> Изменить настройки прокси-сервера -> Дополнительно -> Сброс.

и

Также в настройках Fiddler я отключил опции, позволяющие расшифровывать HTTPS-трафик перед удалением и повторной очисткой сертификатов.

Удалить корневой сертификат(ы) Fiddler

  1. Нажмите Win+r
  2. Открыть:certmgr.msc
  3. Просмотрите все папки и удалите DO_NOT_TRUST_FiddlerRootсертификат.

Удалить Fiddler

  1. Перейдите в Панель управления » Программы » Программы и компоненты.
  2. Удалите Fiddler. Один источникговорится, что Fiddler может называться «FiddlerRoot» или «BrowserSafeguard».

Очистить настройки прокси-сервера

Если предположить, что вы обычно не используете другой прокси-сервер…

  1. Перейдите в Панель управления » Свойства обозревателя.
  2. В свойствах Интернета перейдите на вкладку «Подключения».
  3. В разделе «Параметры локальной сети (LAN)» нажмите «Параметры локальной сети».
  4. Очистите и снимите флажки с настроек прокси-сервера следующим образом:Скриншот настроек локальной сети (LAN)

Удалить вредоносное ПО

Какранее предложено на Super User, вам следует попытаться найти и удалить исходное вредоносное ПО, которое отображало измененные веб-страницы HTTPS.

Подробный совет:
Как удалить вредоносное шпионское ПО, вредоносное ПО, рекламное ПО, вирусы, трояны или руткиты с моего ПК?

Связанный контент