11.03.2020 | Avast Antitrack не проверяет действительность сертификатов web-сервера |
Исследователь безопасности Дэвид Ид (David Eade) обнаружил три уязвимости (CVE-2020-8987) в приложении для защиты персональных данных Avast Antitrack. Данные проблемы могут быть проэксплуатированы злоумышленником для перехвата и подделки соединений пользователя AntiTrack даже к наиболее защищенным web-сайтам. Во время использования AntiTrack web-соединения маршрутизируются через прокси-сервер для удаления отслеживающих cookie-файлов и повышения конфиденциальности. Однако, на самом деле AntiTack не проверяет сертификаты при подключении к web-сайтам. Таким образом, злоумышленник может перенаправить запросы пользователя на вредоносный сервер и похитить учетные данные. Проблемы затрагивают затрагивают версии Avast Antitrack ниже 1.5.1.172 и версии AVG Antitrack ниже 2.0.0.178. По словам Ида, обнаруженные проблемы связаны с тем, как инструменты Avast и AVG обрабатывают защищенные соединения. Во-первых, AntiTrack неправильно проверяет HTTPS-сертификаты, позволяя преступнику самостоятельно подписывать их для поддельных сайтов. Во-вторых, Avast Antitrack принудительно понижает TLS до версии 1.0, даже если web-сервер поддерживает версию TLS 1.2. Последняя проблема заключается в том, что Avast Antitrack игнорирует обновленные шифроблоки, выпускаемые Microsoft, и поддерживает уже устаревшие, считающиеся слабыми по современным стандартам. Специалист сообщил Avast о своих находках, и компания исправила уязвимость в версиях Avast Antitrack 1.5.1.172 и версии AVG Antitrack 2.0.0.178. |
Проверить безопасность сайта