Антивирусное ПО может ослаблять безопасность браузера

Основываясь на полученных данных, специалисты сделали вывод, что межсетевые экраны и антивирусники оказывают прямое влияние на HTTPS-трафик. Причем это влияние явно негативное. Эксперты установили, что при использовании подобных защитных инструментов на персональном компьютере происходит вмешательство в работу защитного соединения. Это может подвергать очень большому риску зашифрованный трафик и ослабить безопасность самого браузера. Если этот так, то даже при использовании HTTPS-соединения пользователи все равно могут подвергнуть свои данные реальной и очень серьезной опасности.

Как выяснили исследователи и представители разных университетов, занимающиеся изучением данной проблемы, их опасения имеют под собой веские основания. В своем исследовании ученые анализировали хендшейки, связанные непосредственно с веб-обозревателями, антивирусным ПО и вредоносными программами. Это помогло им отследить несколько сценариев, во врем которых осуществляется прямое вмешательство в работу HTTPS. Кроме этого, специалистам удалось выяснить, что именно способствует перехвату защищенного трафика.

Специально для проведения этих тестов исследователи создавали особые инструменты, для размещения которых выделялись сервера обновления, принадлежащие Mozilla Firefox, CloudFlare CDN и нескольких крупнейших коммерческих сайтов. По результатам проведенного анализа стало ясно, что при использовании браузера Firefox примерно 4% соединение в ходе тестов удалось перехватить, среди коммерческих сайтов этот показатель находился на уровне 6,2%, а у CloudFlare составил 11%. После перехвата большинство из этих соединение уже нельзя считать полностью безопасными. В частности, 97% перехваченных соединений у Firefox, 54% у CloudFlare и 32% среди коммерческих ресурсов значительно снизили уровень своей надежности. Если рассматривать в общем, то примерно 62% перехваченных соединений ослабевает до более-менее приемлемого уровня, при этом 58% соединений больше нельзя использовать в качестве надежных, так как в них после перехвата обнаруживались критические уязвимости.

Экспертов во время проведения исследования удивили несколько фактов. Первый заключается в том, что перехватчикам вполне достаточно использовать криптографические алгоритмы намного слабее, а второй — более 10% перехватчиков поддерживают шрифты, которые уже давно были взломаны. Это предоставляет атакующему дополнительные возможности, полностью расшифровав перехваченное соединение.

Эксперты во время работы проверили надежность работы некоторых продуктов (WebTitan, Barracuda, Blue Coat, Juniper Networks, A10 Networks, Microsoft, Cisco и др.) Среди них только Blue Coat удостоились самого высокого балла и продемонстрировали максимально корректную работу с TLS-соединениями.

В рамках исследования проводилось также тестирование самых популярных антивирусных программ. Как оказалось, не все из них оказались максимально надежными и способными защитить своих пользователей от разного рода атак. Всего проверялись 13 антивирусных программ, среди которых были ESET, Dr. Web, Kaspersky, Avast, PC Pandora, Qustodio и прочие. Самым надежным из них оказался антивирус Avast. Он по итогам эксперимента удостоился самого высокого балла. Все же остальные продукты оказались уязвимыми перед атаками типа POODLE, CRIME и Logjam.