原来 Avast 这般扫描 HTTPS

2014-12-06 19:42:56 +08:00
 caizixian

传图太麻烦,图放在博客上了
http://www.ivancai.me/2014/12/06/how-avast-scan-https-connections.html

最近用了一台装有Avast 2015的电脑,上网时闲着没事干看了看某个网站的证书。结果发现是Avast! Web/Mail Shield Root颁发的。我感到很惊奇,在杀毒软件厂商中,就听过Symantec和COMODO有经营证书,什么时候Avast也来插上一脚了?

没管它,继续上网。又发现了一个网站使用了Avast颁发的证书。什么时候这货变得这么流行了,难道有免费证书?放狗一搜,毛都没看到。这不对啊,一个存在于系统信任的根证书存储的CA居然没有公开卖证书,还有这么多人用,太不对头了。

点开右下角,在隐藏的托盘图标中发现了一个Avast,啊,好像明白了什么。查看CA的证书生成日期,一问,原来和Avast的安装日期一致。再仔细翻翻Avast的设置,在网页防护设置中发现了启用HTTPS扫描。

这下基本明白了,敢情这货替换了所有HTTPS网站的证书啊。

猜测原理:软件安装时,利用OpenSSL(“关于”中明确指出有使用OpenSSL库)生成根证书,然后每访问一个网站就颁发对应的证书,然后利用私匙解密传输数据进行扫描。

那么问题来了,这样真的安全吗?MITM Attack可以防范吗?没有仔细研究,但这确实是一个巨大的安全隐患。

5158 次点击
所在节点    分享发现
13 条回复
rainy3636
2014-12-06 19:46:29 +08:00
有点goagent的感觉…
wy315700
2014-12-06 19:48:17 +08:00
卡巴也是这么干的
Halry
2014-12-06 19:57:13 +08:00
nod没有,可能根本不扫描https
402645707
2014-12-06 20:16:07 +08:00
首先Avast作为国际大厂,应该不会把数据全往上传吧,而且这种东西在用户协议中也有写“会在不侵犯使用者隐私的情况下进行防护”,当然天朝的国际大厂。。。sony的baidu门应该有人知道吧,丢脸都丢到国外了,别人好心集成一个sdk,你却把用户资料往上传。。。“会根据中华人民共和国相关政策进行工作”直白点就是传
马上中考了,表示正在疯狂补英语,必须得出国啊,不然日子没法过了
coolcfan
2014-12-06 20:24:09 +08:00
凡是带HTTPS扫描的杀软都会这么干吧。
Halry
2014-12-06 20:28:23 +08:00
@402645707 初中?羡慕现在的小孩都有钱,本人对高考没希望了,以后还是洗碗算了
tanyuxiang
2014-12-06 20:38:27 +08:00
除了这般,还有啥办法。。。。
yfdyh000
2014-12-06 20:43:38 +08:00
所有HTTPS扫描的软件都是用这种中间人的方法吧。只要内部的检查处理没疏漏就没什么问题。
其他有HTTPS扫描的杀软以及Fiddler等都是这么做的,Avast只是后来者。
ensonmj
2014-12-06 22:15:29 +08:00
@402645707 知道斯诺登不?还信任所谓的国际大厂?
sincway
2014-12-06 22:34:53 +08:00
我前几天发现了,然后把 HTTPS 扫描关闭就没事了。。
9hills
2014-12-06 22:36:02 +08:00
https只能这么搞,但是搞后的安全性肯定差多了……
402645707
2014-12-07 21:42:25 +08:00
@ensonmj 别拿一个资本主义的公务员和我扯,看我大天朝社会主义,揭露就揭露,弄几没名没姓的小官或干脆直接弄一大的,责任往上推推推,然后该干嘛继续干嘛
ensonmj
2014-12-08 21:23:47 +08:00
@402645707 你以为资本主义就不是这样?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/152004

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX