Działania producentów antywirusów mogą narażać nas na niebezpieczeństwo

Google, Mozilla, Cloudfare oraz badacze z dwóch uniwersytetów skrytykowali producentów oprogramowania antywirusowego za przechwytywanie ruchu HTTPS. Działania takie mogą bowiem narażać użytkowników na niebezpieczeństwo. Programy antywirusowe nie mają domyślnie dostępu do ruchu HTTPS. Jednak ich producenci obchodzą ten problem instalując własne certyfikaty root, dzięki czemu ich programy mogą analizować szyfrowany ruch pod kątem bezpieczeństwa. Metoda ta jest często stosowana, jednak jej krytycy mówią, że sposób, w jaki przechwytywany jest ruch HTTPS nie tylko zmniejsza bezpieczeństwo użytkownika, ale wiąże się z wprowadzeniem nowych luk.

Badacze przeanalizowali 8 miliardów bezpiecznych połączeń z serwerami aktualizacji Firefoksa, witrynami sklepów internetowych oraz siecią Cloudflare. Stwierdzili, że oprogramowanie antywirusowe przechwyciło 4% ruchu do serwerów Firefoksa, 6,2% ruchu do sklepów i 10,9% połączeń z Cloudflare. Zbadano także wpływ przechwycenia ruchu na bezpieczeństwo połączenia. Okazało się, że 97% przechwyconych połączeń do serwerów Mozilli stało się mniej bezpiecznych. Problem ten dotknął tez 32% połączeń do sklepów i 54% połączeń do Cloudflare.

Przechwycone połączenia nie tylko wykorzystywały słabsze algorytmy szyfrujące, ale 10-40 procent wspierało algorytmy, które zostały już złamane, co pozwala na przeprowadzenie ataków typu man-in-the-middle, przechwycenie, osłabienie i odszyfrowanie połączenia - czytamy w raporcie. Społeczność zajmująca się bezpieczeństwem od dawna wiedziała, że programy antywirusowe przechwytują połączenia HTTPS, ale problem był ignorowany, gdyż sądziliśmy, że dotyczy on niewielkiego odsetka połączeń. Okazuje się jednak, że przechwytywanie jest zdumiewająco szeroko rozpowszechnione i może mieć negatywne konsekwencje - dodają autorzy analizy.