Windows twierdzi, że instalator Google Chrome jest groźny. Sprawdzamy powody

Klasyczna szkoła przygotowywania obrazów instalacyjnych mówi, że zamiast korzystania z tzw. klienckich instalatorów oprogramowania, zawsze lepiej używać instalatorów MSI. Jest to lekcja właściwa dla najnowszego Windows 10, a pochodzi ona z wieczyście aktualnych dobrych praktyk zarządzania stacją roboczą Windows 2000(!). Instalatory MSI są znacznie mniej elastyczne od klienckich, a ich użycie ma sens tylko, gdy system jest do tego przygotowany, mają jednak niewątpliwe zalety.

Windows twierdzi, że instalator Google Chrome jest groźny (Kamil Dudek)
Windows twierdzi, że instalator Google Chrome jest groźny (Kamil Dudek)
Kamil J. Dudek

17.08.2020 11:53

Wśród takich cudów, jak możliwość wdrożeń nienadzorowanych, łatwe aktualizacje oraz transakcyjny charakter znajduje się także domyślna instalacja do chronionych katalogów. Zwykły instalator Google Chrome, w większości przypadków, zainstaluje się do katalogu domowego użytkownika. Jest więc podatny na modyfikacje przez programy niepotrzebujące podniesienia uprawnień.

Obraz

Bezpieczniej, ale trudniej

Wersja MSI instaluje się za to w katalogu Program Files, chronionym bezpieczną listą ACL i niemożliwym do zmodyfikowania przez użytkownika. Chrome respektuje podział katalogów, instalując aplikację do Program Files, a swój stan trzymając w AppData\Local. Tak trzeba żyć, this is the way. Jeżeli więc stacja robocza z Windows jest przygotowana poprawnie, czyli konto jest ograniczone, a UAC ustawiony na samą górę, instalatory MSI wpisują się w taki model bezpieczeństwa.

SmartScreen nie ufa instalatorowi MSI...
SmartScreen nie ufa instalatorowi MSI...

Dlatego przydałoby się, żeby Windows nie zniechęcał do ich użycia. Próba pobrania instalatora korporacyjnego MSI dla Google Chrome kończy się obecnie ostrzeżeniem (a w przypadku ścisłej konfiguracji - zablokowaniem) SmartScreen, który ostrzega, że plik jest podejrzany i rzadko uruchamiany.

To drugie jeszcze da się zrozumieć: w przeważającej większości użytkownicy stosują wersję EXE, a nie MSI, a ci pobierający MSI raczej go nie uruchamiają, tylko wrzucają do punktu publikacji w sieci firmowej. Bardziej dziwi ten drugi powód. A wynika on z tego, że instalator ma… nieprawidłowy podpis cyfrowy. Takie sytuacje zawsze są podejrzane. Krótko mówiąc, zły lub brakujący podpis cyfrowy oznacza, że plik został podmieniony złośliwą wersją.

Najwyraźniej nikt jeszcze nie zauważył...
Najwyraźniej nikt jeszcze nie zauważył...

Włamanie czy pomyłka?

Czyżby ktoś podmienił instalator Google? Sprawa jest nieco bardziej skomplikowana. Czy plik pobrano ze strony google.com? Otóż… nie. Strona domowa MSI znajduje się w domenie o niezwykle pretensjonalnym TLD, mianowicie "chromeenterprise.google". Los zemścił się za hybris i wpuścił hakerów? Nie, sam zasób MSI pochodzi z dl.google.com, więc w porządku. Co prawda Hybrid Analysis zgłasza, że program zachowuje się podejrzanie, ale to detekcja słuszna również dla prawdziwego Chrome'a.

Wadliwy podpis cyfrowy wersji Enterprise (fot. Kamil Dudek)
Wadliwy podpis cyfrowy wersji Enterprise (fot. Kamil Dudek)

W porządku, ale plik nie przechodzi walidacji. Brakuje podpisu? Nie, podpis jest! Certyfikat CA jest lewy/kradziony/unieważniony? Również nie, plik został podpisany przez… Google LLC. Zatem albo ktoś przejął narzędzie do podpisywania zasobów Google, ale nie do końca ma możliwość go używać w pełni albo po prostu (co jest o rzędy wielkości bardziej prawdopodobne) pipeline budujący instalator MSI podpisuje go nieprawidłowo.

Na czym dokładnie polega problem? Trudno powiedzieć. Taki problem pojawia się, gdy w pliku PE EXE, sekcja przechowująca podpis cyfrowy nie odzwierciedla zaszytą sumą kontrolną zasobów dostarczanych przez EXE. Innymi słowy, taki sam efekt można osiągnąć otwierając plik EXE w Notatniku i podmieniając kilka bajtów. Lub, złośliwie, "doklejając" do własnego EXE cudzy podpis (np. Google). Będzie on "świecić" jako nieprawidłowy w taki sam sposób, na jaki obecnie świeci instalator MSI Google Chrome.

Narzędzie weryfikacji podpisu "oblewa" plik Google (fot. Kamil Dudek)
Narzędzie weryfikacji podpisu "oblewa" plik Google (fot. Kamil Dudek)

Co robić, jak żyć?

Pliki dostarczane przez wadliwe MSI są podpisane (prawidłowo) przez Google. Antywirus nie wykrywa zagrożeń zarówno w instalatorze, jak i w zainstalowanym produkcie. Ale poza plikami, MSI dostarcza także akcje, a te już trudniej skanować. Czy oficjalny instalator Google Chrome jest zainfekowany? To bardzo wątpliwe. Ale coś jest z nim nie tak. A to bardzo kiepskie miejsce na niedociągnięcia.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (56)