Avast Antitrack не проверяет действительность сертификатов web-сервера

Злoумышлeнник мoжeт пeрeнaпрaвить зaпрoсы пoльзoвaтeля нa врeдoнoсный сeрвeр и пoxитить учeтныe данные.

Исследователь безопасности Дэвид Ид (David Eade) обнаружил три уязвимости (CVE-2020-8987) в приложении для защиты персональных данных Avast Antitrack. Данные проблемы могут быть проэксплуатированы злоумышленником для перехвата и подделки соединений пользователя AntiTrack даже к наиболее защищенным web-сайтам.

Во время использования AntiTrack web-соединения маршрутизируются через прокси-сервер для удаления отслеживающих cookie-файлов и повышения конфиденциальности. Однако, на самом деле AntiTack не проверяет сертификаты при подключении к web-сайтам. Таким образом, злоумышленник может перенаправить запросы пользователя на вредоносный сервер и похитить учетные данные.

Проблемы затрагивают затрагивают версии Avast Antitrack ниже 1.5.1.172 и версии AVG Antitrack ниже 2.0.0.178.

По словам Ида, обнаруженные проблемы связаны с тем, как инструменты Avast и AVG обрабатывают защищенные соединения. Во-первых, AntiTrack неправильно проверяет HTTPS-сертификаты, позволяя преступнику самостоятельно подписывать их для поддельных сайтов. Во-вторых, Avast Antitrack принудительно понижает TLS до версии 1.0, даже если web-сервер поддерживает версию TLS 1.2. Последняя проблема заключается в том, что Avast Antitrack игнорирует обновленные шифроблоки, выпускаемые Microsoft, и поддерживает уже устаревшие, считающиеся слабыми по современным стандартам.

Специалист сообщил Avast о своих находках, и компания исправила уязвимость в версиях Avast Antitrack 1.5.1.172 и версии AVG Antitrack 2.0.0.178.

Источник

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.