Как работает avast! добавить подпись в мою почту?

10

У меня есть бесплатная версия avast! установлен на моем компьютере.
Когда я только что отправил электронное письмо https://mail.google.comс Firefox, была добавлена ​​подпись о том, что отправленное письмо

Без вируса. www.avast.com

введите описание изображения здесь

Я не спрашиваю о том, как это отключить, я уже это сделал.

Но мне любопытно, как им удалось это технически добавить.

Редактировать (на основе комментариев):
я проверил Менеджер дополнений Firefox, но не могу найти расширения или плагина от avast !.

Кажется, это означает, что программа, установленная на моем компьютере, может изменять содержимое просматриваемого веб-сайта.

hirse
источник
Кажется, это связано с безопасностью, где еще я могу спросить?
hirse
1
@hirse: Я предполагаю, что у вас установлено расширение Firefox от Avast. Такие расширения имеют доступ к простым текстовым данным, т.е. до шифрования.
Штеффен Ульрих
@SteffenUllrich, я не могу найти расширение или плагин от avast в менеджере дополнений Firefox.
hirse
2
Если это не сделано с расширением Firefox, то они перехватывают SSL, то есть вы бы увидели, что их MITM CA доверены в хранилище CA браузеров. Хотя браузер тогда, вероятно, настроен на использование (локального) прокси.
Штеффен Ульрих
Как видно из этого ответа , Avast использует разные методы для разных браузеров . Firefox показывает подлинные сертификаты, поэтому я думаю, что они используют номер 1 для этого. С Edge они, похоже, проксируют с собственным корневым CA.
techraf

Ответы:

8

Это потому, что ваше антивирусное программное обеспечение атакует вас с помощью атаки «человек посередине». Или, по крайней мере, об этой возможности я расскажу ниже.

Люди опровергли этот ответ и потребовали доказательства моих претензий. К счастью, кто-то уже добавил ссылки в комментариях. Kaspersky , Bitdefender (см. Следующее упоминание слова «Bitdefender») и avast! сделай это точно. Я не знаю о других. Вы также можете посмотреть это видео об этом. (К сожалению, видео на немецком языке, но вы все равно сможете увидеть, что происходит, даже если вы не говорите по-немецки. В этом случае начните смотреть с 1:40.)

Перейдите на страницу https (например, веб-сайт GMail) и нажмите на небольшой замок слева от адресной строки вашего браузера.

Затем вы должны выяснить, как получить информацию о соединении. В Firefox вы должны нажать на кнопку со стрелкой справа. Вы уже видите то, что вам нужно, но в любом случае нажмите «Дополнительная информация». Будет показано следующее окно:

Как вы можете видеть, я посетил Википедию, чтобы создать этот скриншот, и личность сайта подтверждена GlobalSign nv-sa. В вашем случае вы увидите название вашего антивирусного программного обеспечения или что-то связанное с этим.

Здесь происходит то, что антивирусное программное обеспечение направляет трафик вашего браузера через программное обеспечение, которое оно предоставляет. Он перехватывает трафик вашего браузера через человека посередине.

Я называю это атакой «человек посередине» не только потому, что она следует тому же принципу, что и злонамеренная атака «человек посередине», но и потому, что она может серьезно повысить уязвимость вашей системы, если вредоносное программное обеспечение ( авторы которых сами не могут подписывать сертификаты и, следовательно, не могут перехватить ваш https-трафик без вашего ведома) используют ваше антивирусное программное обеспечение для считывания трафика. Кроме того, Bitdefender значительно снижает безопасность соединения, как вы можете увидеть в этом видео в 4:38 или попробовав его самостоятельно. Пользователю, конечно же, не говорят об этом, и поэтому он подвергается атаке со стороны программного обеспечения, которое он использует для своей защиты. Даже если он не причинит вреда пользователю, он все равно будет атакой «человек посередине» в соответствии с определениями, которые вы можете найти в Интернете (включаятот, что в Википедии ).

Это достаточно легко сделать с помощью http. Но если вы используете https, вы можете подумать, что антивирусная программа ничего не может прочитать. Но это возможно, потому что вы подключаетесь не к веб-серверу, а к своему антивирусному программному обеспечению. Затем он читает трафик, манипулирует им, если хочет, и снова шифрует его. (Таким образом, между вашим антивирусом и GMail существует безопасное соединение.)

Тогда ваше антивирусное программное обеспечение может просто делать с вашими электронными письмами (или любым другим трафиком!) Все, что захочет.

UTF-8,
источник
4
Нет, дело не в Avast. Путь к сертификату в mail.google.comFirefox: GeoTrust Global CA -> Google Internet Authority G2 -> mail.google.com. Все сертификаты имеют правильные подписи, и Avast все еще вводит их <div>в электронную почту.
techraf
-1 антивирусная компания, которая занималась этим, не будет долго заниматься бизнесом, она не сможет удержать бизнес-клиентов (и опытных людей). Если вы сможете отредактировать свой ответ с доказательствами, обосновывающими вашу претензию, я с удовольствием проголосую.
3
@ Натан Многие компании делают это. В том числе Касперский и Аваст . Ваш комментарий неинформирован, если не сказать больше.
techraf
Кажется, ты прав, я поражен, что они делают это, спасибо за ссылки. Рад, что я никогда не использовал ни один из них! (если вы внесете небольшую правку в свой ответ [мой голос заблокирован], я буду голосовать вверх, извините)
2
@BrentKirkpatrick Пользователю ни в коем случае не говорят, что его трафик будет разыскиваться или что это серьезно снизит безопасность их соединений https (это также упрощает поиск трафика третьими лицами). Но поскольку речь идет о том, что можно квалифицировать как атаку «человек посередине», а не о технических вещах, я перестану ее обсуждать.
UTF-8