Avast是全球知名的殺毒/安全軟件,但是最近他們攤上了不少事,1月份爆出子公司收集用戶隱私數據賣錢的醜聞,最終迫使他們關閉了這項業務,下定壯士扼腕的決心以便重新獲得用戶的認可。
現在他們的軟件又被發現漏洞了,這次攤上事的是Avast的AntiTrack軟件,這是一個用於反追蹤應用,可以讓消費者在網絡中隱身,避開煩人的廣告、推送等垃圾信息,還可以偽裝信息迷惑這些喜歡蒐集用戶隱私的廣告商、服務商等。
Avast表示他們的AntiTrack軟件比其他的廣告攔截、瀏覽器隱身模式等工具都管用。
AntiTrack軟件在國內也有出售,售價158元一年,除了Windows還支持Mac平臺。
正是AntiTrack反追蹤軟件被網絡安全專家David Eade發現了漏洞,漏洞編號CVE-2020-8987,影響了Avast及AVG兩個系列的AntiTrack軟件。
這個漏洞實際上可能會帶來三種不同的問題,首先是可能無法正確驗證Https安全證書,使得攻擊者可能使用假的證書仿冒站點騙人。
其次,這個漏洞還有可能讓瀏覽器強制降級到TLS 1.0,即便禁用了TLS 1.0也有可能讓某些站點成功使用TLS 1.0連接成功。
第三點就是AntiTrack沒有遵守前向安全(forward secrecy),不能在所有支持這一特性的瀏覽器上正常工作。
在發現這個漏洞之後,David Eade已經向Avast報告了,後者處理這件事也很迅速,除了給David Eade發了獎金之外,也迅速修復了這些漏洞,Avast及AVG用戶升級最新版之後已經封堵了漏洞。
分享到:
閱讀更多 驅動之家 的文章
