Função antirrastreamento da Avast expôs dados de usuários

Por Rafael Arbulu | 12 de Março de 2020 às 10h43
Tudo sobre

Avast

Saiba tudo sobre Avast

Ver mais

[Atualização em 12/03 às 11h55] A Avast corrigiu o problema por meio de patch de segurança. O posicionamento integral da empresa foi adicionado ao final do texto original.

Uma ferramenta de antirrastreamento presente nos antivírus Avast e AVG acabou, ironicamente, fazendo o oposto do que propunha ao expor dados de usuários que desejavam navegar pela internet de forma anônima. A função Antitracking, segundo a Avast, remove a presença de cookies e ferramentas de monitoramento online de uma sessão do navegador, permitindo que um internauta evite que informações como páginas visitadas ou sua geolocalização sejam “pescadas” por ferramentas do tipo.

Porém, segundo pesquisa conduzida pelo especialista em segurança David Eade, o Antitracking não verifica a autenticidade dos certificados de segurança emitidos por um site, o que facilitaria ataques hacker ao “roubar” a sessão de navegação — uma manobra conhecida como "Man in the Middle”). Resumidamente, esse tipo de ataque permite que um terceiro agente — normalmente, o invasor — observe a navegação e possa capturar dados trafegados por toda a sua duração, como credenciais de login e senha, entre outros dados.

Eade ainda ressaltou que, neste caso em específico, hackers não precisariam nem de um software próprio para a invasão, tampouco estar na mesma conexão que a vítima.

Falha em sistema antirrastreamento do Avast acabou expondo dados dos usuários a hackers, tornando-os vulneráveis a ataques conhecidos como Man in the Middle

Para piorar a situação, o sistema dos softwares de proteção da Avast rebaixam os protocolos de segurança em detreimento do antigo TLS 1.0, além de preferir empregar métodos de criptografia antiquados, que abrem a navegação do usuário a ainda mais ataques.

“Se um agente executar um proxy malicioso remotamente, ele pode capturar o tráfego HTTPS e credenciais gravadas para reutilizá-las depois”, disse Eade. “Se um site precisa de autenticação em dois fatores (como por exemplo páginas de senha única), então o hacker ainda pode roubar uma sessão ativa ao clonar os cookies dela após a vítima se logar”.

A falha foi originalmente descoberta em agosto de 2019, com Eade comunicando os gestores da Avast logo em seguida. Afetando especificamente as versões 1.5.1.172 (Avast) e 2.0.0.178 (AVG), um patch de segurança foi lançado pela empresa para corrigir a anomalia.

Avast corrige o problema e agradece ao pesquisador

Em post publicado no seu blog oficial, a Avast alerta usuários de que o problema já foi corrigido por meio de patch de segurança, aproveitando para agradecer ao pesquisador responsável por relatar a falha. O posicionamento da empresa segue na íntegra:

"Muito obrigado a David Eade por relatar problemas de segurança que afetaram o Avast e o AVG AntiTrack. Com base no que ele nos reportou, nós consertamos os problemas nas versões 1.5.1.172 do Avast AntiTrack e 2.0.0.178 do AVG AntiTrack.

David descobriu falhas de segurança que afetavam usuários do AntiTrack, relacionadas a como ocorria a filtragem de protocolos HTTPS. Com essa função habilitada, alguns navegadores poderiam estabelecer conexão com certificado de segurança TLS 1.0, mesmo que este certificado tenha sido especificamente desligado nesse navegador. Suites criptográficas não eram inteiramente honradas e encaminhamentos secretos não funcionavam corretamente para todos os navegadores. David também descobriu que o AntiTrack não bloqueava de forme eficiente os certificados de assinatura própria comuns a sites inseguros.

Graças ao relato feito por David a nós, os problemas foram solucionados por meio de uma atualização enviada a todos os usuários do AntiTrack".

Fonte: Techradar

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.