HTTPS 証明書のチェックはコンピューター セキュリティ ツールキットなら簡単だと思うでしょうが、Avast の AntiTrack プライバシー ツールではそうではありません。
ウェブ研究者の David Eade 氏は CVE-2020-8987 を発見し、Avast に報告しました。この 3 つの欠陥が組み合わさると、侵入者がこれを悪用して、最も厳重に保護された Web サイトへの AntiTrack ユーザーの接続を密かに傍受し、改ざんできる可能性があります。
これは、AntiTrackを使用すると、Web接続がプロキシソフトウェアを経由してルーティングされるため、トラッキングCookieなどの情報を削除し、プライバシーを強化できるためです。しかし、AntiTackがユーザーに代わってウェブサイトに接続する際、正規のサイトに接続しているかどうかの確認は行われません。そのため、AntiTrackとユーザーがアクセスしようとしているウェブサイトの間にいる悪意のある中間者が、ユーザーのウェブページリクエストを正規のサイトを装った悪意のあるサーバーにリダイレクトし、ログイン情報を収集したり、その他の方法でユーザーを盗聴したりする可能性があります。ユーザーはそれに気付くことはありません。
この欠陥は AntiTrack の Avast 版と AVG 版の両方に影響しており、両ツールの修正プログラムがリリースされているため、ユーザーはソフトウェアを更新することをお勧めします。
イード氏は昨年8月からこのバグを追跡している。
「その影響は計り知れません。悪意のあるプロキシをリモートで実行する攻撃者は、被害者のHTTPSトラフィックを傍受し、認証情報を記録して後で再利用できる可能性があります」と彼は述べた。「サイトが二要素認証(ワンタイムパスワードなど)を必要とする場合、攻撃者は被害者がログインした後でもセッションクッキーを複製することで、ライブセッションを乗っ取ることができます。」
Avast、侵入者を「Abiss」に突き落とす:VPN経由でネットワークに侵入し、CCleanerを改ざんしようとした悪意ある人物
続きを読む
イード氏は、これら 3 つのセキュリティホールはすべて、Avast および AVG ツールがセキュリティ保護された接続を処理する方法に関係していると述べた。
最初の問題は、AntiTrackがHTTPS証明書を適切に検証していないため、攻撃者が偽サイトの証明書に自己署名できる状態になっていることです。2つ目の問題は、AntiTrackがブラウザをTLS 1.0に強制的にダウングレードしていること、そして3つ目の問題は、アンチトラッキングツールが前方秘匿性(Forward Secrecy)を尊重していないことに起因します。
Avast は自社ブランドの AntiTrack と AVG バージョンの両方でこのバグを認めています。
「デイビッド氏がこれらの問題を報告してくれたおかげで、すべてのアンチトラックユーザーにプッシュされたアップデートを通じて、問題は修正されました」とアバストは述べた。
また、Avastのアンチウイルスツールにも新たな脆弱性が存在する可能性があります。今回、Google社員のTavis Ormandy氏は、このアンチウイルススイートがJavaScriptインタープリターをシステム管理者レベルの権限で実行していることを発見しました。これは、ポケットに銃を隠し持ち、安全装置をオフにして走り回っているようなものです。
「設計上、高度な権限が与えられ、信頼できない入力を処理するにもかかわらず、サンドボックス化されておらず、緩和策の範囲も限られています」とオーマンディ氏はこのプロセスについて述べた。「このプロセスに存在するあらゆる脆弱性は重大であり、リモート攻撃者にとって容易にアクセス可能です。」®
