Jak działa avast! dodać podpis do mojej poczty internetowej?

10

Mam darmową wersję avast! zainstalowany na moim komputerze.
Kiedy właśnie wysłałem wiadomość e-mail za https://mail.google.compomocą przeglądarki Firefox, dodano podpis z informacją, że wysłana poczta jest

Bez wirusów. www.avast.com

wprowadź opis zdjęcia tutaj

Nie pytam, jak to wyłączyć, już to zrobiłem.

Ale jestem ciekawy, jak udało się to dodać technicznie.

Edycja (na podstawie komentarzy):
sprawdziłem Menedżera dodatków Firefox, ale nie mogę znaleźć żadnego rozszerzenia ani wtyczki od avast !.

Wydaje się to sugerować, że program zainstalowany na moim komputerze może modyfikować zawartość przeglądanej witryny.

email anti-virus gmail dzierżawa
źródło
Wydawało się, że jest związane z bezpieczeństwem, gdzie indziej mogę o to zapytać?
dzierżawa
1
@hirse: Domyślam się, że masz zainstalowane rozszerzenie Firefox z Avast. Takie rozszerzenia mają dostęp do danych w postaci zwykłego tekstu, tj. Przed szyfrowaniem.
Steffen Ullrich
@SteffenUllrich, nie mogę znaleźć rozszerzenia ani wtyczki od avast w Menedżerze dodatków Firefox.
wypożycz
2
Jeśli nie jest to zrobione z rozszerzeniem Firefox, to przechwytują SSL, tzn. Ich MITM CA będzie zaufany w sklepie CA przeglądarki. Chociaż przeglądarka jest wtedy prawdopodobnie skonfigurowana do używania (lokalnego) proxy.
Steffen Ullrich
Wygląda na to, że Avast stosuje różne metody dla różnych przeglądarek, jak wyjaśnia ta odpowiedź . Firefox pokazuje wiarygodne certyfikaty, więc chyba używają do tego numeru 1. Wydaje się, że Edge używa proxy z własnym głównym urzędem certyfikacji.
techraf

Odpowiedzi:

8

To dlatego, że twoje oprogramowanie antywirusowe atakuje cię poprzez atak typu man-in-the-middle. A przynajmniej taką możliwość omówię poniżej.

Ludzie zanegowali tę odpowiedź i zażądali dowodów na moje twierdzenia. Na szczęście ktoś już dodał linki w komentarzach. Kaspersky , Bitdefender (patrz następna wzmianka o słowie „Bitdefender”) i avast! zrób to na pewno. Nie wiem o innych. Możesz również obejrzeć ten film na ten temat. (Niestety film jest w języku niemieckim, ale nadal będziesz mógł zobaczyć, co się dzieje, nawet jeśli nie mówisz po niemiecku. W takim przypadku zacznij oglądać o 1:40).

Przejdź na stronę https (np. Stronę GMail) i kliknij małą blokadę po lewej stronie paska adresu przeglądarki.

Następnie musisz dowiedzieć się, jak uzyskać informacje o połączeniu. W przeglądarce Firefox musisz kliknąć przycisk strzałki po prawej stronie. Widzisz już to, co musisz zobaczyć, ale i tak kliknij „Więcej informacji”. Pojawi się takie okno:

Jak widać, odwiedziłem Wikipedię, aby utworzyć ten zrzut ekranu, a tożsamość strony jest weryfikowana przez GlobalSign nv-sa. W twoim przypadku zobaczysz nazwę swojego oprogramowania antywirusowego lub coś z tym związanego.

To, co się tutaj dzieje, polega na tym, że oprogramowanie antywirusowe kieruje ruchem przeglądarki za pośrednictwem oprogramowania, które udostępnia. Przechwytuje ruch przeglądarki przez człowieka pośrodku.

Nazywam to atakiem typu man-the-the-middle nie tylko dlatego, że jest zgodny z tą samą zasadą, co atak typu man-in-the-middle, ale także dlatego, że może poważnie zwiększyć podatność twojego systemu na ataki złośliwego oprogramowania ( których autorzy nie mogą sami podpisywać certyfikatów i dlatego nie mogą przechwytywać ruchu https bez zauważenia) używa oprogramowania antywirusowego do odczytu ruchu. Co więcej, Bitdefender poważnie obniża bezpieczeństwo połączenia, co można zobaczyć w tym filmie o 4:38 lub samemu próbując. Użytkownik - oczywiście - nie jest tego informowany i dlatego jest atakowany przez oprogramowanie, którego używa do obrony. Nawet jeśli nie zaszkodzi to użytkownikowi, nadal byłby to atak typu man-in-the-middle, zgodnie z definicjami dostępnymi online (w tymten na Wikipedii ).

Jest to dość łatwe w przypadku http. Ale jeśli używasz protokołu https, możesz pomyśleć, że oprogramowanie antywirusowe niczego nie może odczytać. Ale może tak być, ponieważ nie łączysz się bezpiecznie z serwerem sieciowym, ale z oprogramowaniem antywirusowym. Następnie odczytuje ruch, manipuluje nim, jeśli chce, i szyfruje go ponownie. (Tak więc istnieje bezpieczne połączenie między oprogramowaniem antywirusowym a Gmailem).

Oprogramowanie antywirusowe może wtedy po prostu robić z e-mailami (lub innym ruchem!), Co tylko zechce.

UTF-8
źródło
4
Nie, to nie dotyczy Avast. Ścieżka certyfikatu do mail.google.comprzeglądarki Firefox to: GeoTrust Global CA -> Google Internet Authority G2 -> mail.google.com. Wszystkie certyfikaty mają prawidłowe podpisy, a Avast nadal wstrzykuje <div>je do wiadomości e-mail.
techraf
-1 firma antywirusowa, która tak długo nie działała, nie byłaby w stanie zatrzymać klientów biznesowych (i doświadczonych osób). Jeśli możesz zredagować swoją odpowiedź za pomocą dowodów na poparcie swojego roszczenia, chętnie głosuję.
3
@Nathan Wiele firm to robi. W tym Kaspersky i Avast . Twój komentarz jest co najmniej niedoinformowany.
techraf
Wygląda na to, że masz rację, jestem zdumiony, że to robią, dzięki za linki. Cieszę się, że nigdy nie użyłem żadnego z nich! (jeśli dokonasz niewielkiej zmiany w swojej odpowiedzi [mój głos jest zamknięty], podniosę głos, przepraszam)
2
@BrentKirkpatrick W żadnym momencie użytkownik nie jest informowany, że jego ruch będzie przeszukiwany, ani że poważnie obniży to bezpieczeństwo połączeń https (ułatwia to również osobom trzecim przeszukiwanie ruchu). Ale ponieważ jest to dyskusja na temat tego, co kwalifikuje się jako atak człowieka w środku, a nie na temat spraw technicznych, przestanę o tym dyskutować.
UTF-8