アバスト、AVG: 脆弱性だらけのトラッキング防止保護はハッキングに使用される可能性がある

オンライン プライバシーを保護するはずの 2 つの有料プロキシであるアバスト アンチトラックと AVG アンチトラックは、実際には欠陥だらけでした。研究者は、これらのアプリケーションの使用が実際に特定の種類のハッキングを容易にすることを A+B で示しています。

アバスト ホームページ / クレジット: Phonandroid

アバストまたは AVG アンチトラッキング ソリューション (AntiTrack) を使用していますか?これらのプレミアム保護サービスに加入することで、コンピューターのセキュリティが本当に強化されたかどうかを自問してみる価値はあるでしょう。セキュリティ研究者の David Eade 氏は、これらのプログラムが実際に HTTPS 暗号化トラフィックに対する中間者攻撃をどのように促進した可能性があるかを自身のブログで説明しています。研究者は、アバストと AVG アンチトラックは同じソース コードを共有していると説明しています。実際、これらのアプリケーションは、アクティブ化しない限り、すべてのインターネット トラフィックが通過する HTTPS プロキシとして機能します。

欠陥を修正するには8か月

しかし、これらのアプリケーションのコードには欠陥が多いと研究者は指摘します。 1 つ目は、Antitrack はターゲット サーバーによって提示された証明書の有効性をチェックしないことです。したがって、攻撃中間者偽の証明書を提示することで、驚くほど簡単に実行できます。さらにアバスト アンチトラックダウングレードブラウザのセキュリティ プロトコルを TLS バージョン 1.0 と TLS 1.2 以降で比較します。最後に、研究者によると、これらのアプリケーションは、ブラウザーに、たとえば Internet Explorer や Edge でデフォルトで利用可能な暗号スイートよりも安全性の低い暗号スイートの使用を強制します。

「その結果を誇張するのは難しい」と研究者は指摘しています。「悪意のあるプロキシを実行しているリモート攻撃者は、被害者の HTTPS トラフィックをキャプチャし、後で使用するために資格情報を盗み出す可能性があります。サイトが 2 要素認証 (またはワンタイム パスワード) を使用している場合でも、攻撃者は被害者の認証後にセッション Cookie を複製することで現在のセッションをハイジャックする可能性があります。この脆弱性は 2019 年 8 月 7 日に初めて報告されましたが、アバストと AVG アプリケーションにパッチが適用されるまで、2020 年 3 月 9 日まで (8 か月!) 待たなければなりませんでした。

こちらもお読みください:アバスト – 無料のアンチウイルスがユーザーをスパイし、Google と Microsoft にデータを販売

それまでの間、アバストと AVG は依然としてサブスクリプションを請求していると考えられます。料金は、アバスト アンチトラックの場合は年間 49.99 ユーロ、AVG アンチトラックの場合は年間 39.99 ユーロです。

ソース :デビッド・イード (ブログ)