CCleaner 被駭事件:我們要知道什麼與可以做什麼的整理清單
從昨天開始,國內外的媒體就大量的開始報導「 CCleaner 被駭的相關新聞」。 CCleaner 是知名的電腦清理軟體,號稱可以清理電腦的垃圾檔案資料,而且使用者非常多,是非常老牌的系統最佳化工具。
我自己並非資安技術專家,但對這個新聞也很關注,所以雖然我自己無法提供技術上的分析,但我一邊閱讀,一邊把這次事件的重點整理成筆記,想說自己以後遇到類似事件可以參考。
但既然已經整理成筆記,那也乾脆分享給電腦玩物的讀者們參考吧!
我主要整理的重點來源是兩篇文章,一篇是「 CCleaner 官方的說明」。另一篇是發現這個資安問題的「 Cisco’s Talos 技術說明 」。
先說結論:
- 1. 使用 Windows 32 位元系統的用戶才有可能受影響。
- 2. 並且是在 2017 年 8 月 15 日之後, 9 月 12 日之前,安裝或更新到 CCleaner 5.33.6162 與 CCleaner Cloud 1.07.3191版本的使用者,才有可能安裝到被惡意修改的 CCleaner 問題軟體版本。
這個有問題的 CCleaner 版本會做什麼?
- 1. 這個問題軟體版本會偷偷傳送用戶資料。包含:電腦名稱、安裝軟體清單、MAC地址等資訊,到一個惡意的位址。
- 2. CCleaner 聲稱目前最多只會造成上述這樣的危害,其他進一步可能危害都已經被禁止。
CCleaner 有沒有解決問題?
- 1. 2017 年 9 月 12 日後,CCleaner 已經把有問題的軟體版本下架,用戶不會再安裝到問題版本。
- 2. CCleaner 現在已經更新了軟體,最新安全的軟體版本是 5.34 ,安裝新版軟體就是沒有問題的版本。
CCleaner 的用戶可以做什麼?
- 1. 確認自己目前的 CCleaner 是否為 CCleaner 5.33.6162 或 CCleaner Cloud 1.07.3191版本。
- 2. 如果是,可以移除舊版軟體。
- 3. 假如還是想使用 CCleaner 的話,就更新到 CCleaner 5.34 以上最新版。
- 4. 如果擔心自己之前使用時,是否有被植入其他惡意程式,可以使用你的防毒軟體做全機檢查。
- 5. 如果還是擔心,並且不太信任官方說法,最終手段就是還原系統到安全的時間點之前,或是重灌電腦。
CCleaner 這次到底發生什麼事情?
- 1. CCleaner 官方的軟體中被植入了惡意程式碼。
- 2. 為什麼官方伺服器內的軟體會被修改與植入惡意程式碼,這一點似乎還在調查。
- 3. 在2017年8月15日之後發佈的 CCleaner 5.33.6162 和 CCleaner Cloud 1.07.3191,被植入了這個惡意程式
- 4. 於是有些用戶在下載或更新時,安裝了這個問題版本的 CCleaner ,目前估計受影響的 CCleaner 用戶約有227萬。
背景:
- 1. CCleaner 是世界上最知名,也可能是最多人使用的電腦清理軟體。
- 2. CCleaner 之前已經被知名的防毒軟體 Avast 收購。
- 3. CCleaner 號稱全球有超過一億的使用者,有二十億的下載量。平均每週新增500萬用戶。
長知識:
- 這次的資安攻擊可稱為 Supply chain attacks,供應鏈攻擊,攻擊者利用供應商與使用者之間的信任關係,入侵供應商植入惡意程式,讓沒發現有問題的供應商在分發軟體時把惡意軟體也發送給用戶,用戶因為信任關係也難以察覺。
我自己在 2011 年之前都還很喜歡使用 CCleaner 做電腦清理,但後來因為我自己撰寫的這篇文章:「當 CCleaner 登上 Android ?合理看待獵豹清理大師的效用」,從手機到電腦,我開始認為這些清理軟體不會很有效加速現代的數位裝置,於是這三到四年也沒有安裝這類工具了。
以上,就是我的整理筆記,提供給大家參考。有更了解這次事件的朋友,也歡迎在電腦玩物文章底下留言補充,或指正上述筆記可能的誤解。
(轉貼本文禁止修改內文,禁止商業使用,並且必須註明來自電腦玩物原創作者 esor huang 異塵行者,及附上原文連結:CCleaner 被駭事件:我們要知道什麼與可以做什麼的整理清單)
難怪當初更新後的執行檔會被 comodo 攔截,原來如此
回覆刪除當年愛用的comodo 看起來現在還是很厲害
刪除真的拦截了吗,COMODO不是会自动信任piriform的数字签名吗
刪除謝謝異塵大整理的懶人包。原來 64 位元的 Windows 系統此次沒有中著。讓我鬆了一口氣。
回覆刪除Cisco 第二篇研究報告顯示這次事件背後與中國軍方 APT17 組織有關。
回覆刪除事件發生在 Piriform 被 Avast 收購後不久,也有理由懷疑問題出在 Avast 這邊。