传图太麻烦,图放在博客上了
http://www.ivancai.me/2014/12/06/how-avast-scan-https-connections.html
最近用了一台装有Avast 2015的电脑,上网时闲着没事干看了看某个网站的证书。结果发现是Avast! Web/Mail Shield Root
颁发的。我感到很惊奇,在杀毒软件厂商中,就听过Symantec和COMODO有经营证书,什么时候Avast也来插上一脚了?
没管它,继续上网。又发现了一个网站使用了Avast颁发的证书。什么时候这货变得这么流行了,难道有免费证书?放狗一搜,毛都没看到。这不对啊,一个存在于系统信任的根证书存储的CA居然没有公开卖证书,还有这么多人用,太不对头了。
点开右下角,在隐藏的托盘图标中发现了一个Avast,啊,好像明白了什么。查看CA的证书生成日期,一问,原来和Avast的安装日期一致。再仔细翻翻Avast的设置,在网页防护设置中发现了启用HTTPS扫描。
这下基本明白了,敢情这货替换了所有HTTPS网站的证书啊。
猜测原理:软件安装时,利用OpenSSL(“关于”中明确指出有使用OpenSSL库)生成根证书,然后每访问一个网站就颁发对应的证书,然后利用私匙解密传输数据进行扫描。
那么问题来了,这样真的安全吗?MITM Attack可以防范吗?没有仔细研究,但这确实是一个巨大的安全隐患。
1
rainy3636 2014-12-06 19:46:29 +08:00
有点goagent的感觉…
|
2
wy315700 2014-12-06 19:48:17 +08:00
卡巴也是这么干的
|
3
Halry 2014-12-06 19:57:13 +08:00 via Android
nod没有,可能根本不扫描https
|
4
402645707 2014-12-06 20:16:07 +08:00
首先Avast作为国际大厂,应该不会把数据全往上传吧,而且这种东西在用户协议中也有写“会在不侵犯使用者隐私的情况下进行防护”,当然天朝的国际大厂。。。sony的baidu门应该有人知道吧,丢脸都丢到国外了,别人好心集成一个sdk,你却把用户资料往上传。。。“会根据中华人民共和国相关政策进行工作”直白点就是传
马上中考了,表示正在疯狂补英语,必须得出国啊,不然日子没法过了 |
5
coolcfan 2014-12-06 20:24:09 +08:00
凡是带HTTPS扫描的杀软都会这么干吧。
|
7
tanyuxiang 2014-12-06 20:38:27 +08:00
除了这般,还有啥办法。。。。
|
8
yfdyh000 2014-12-06 20:43:38 +08:00
所有HTTPS扫描的软件都是用这种中间人的方法吧。只要内部的检查处理没疏漏就没什么问题。
其他有HTTPS扫描的杀软以及Fiddler等都是这么做的,Avast只是后来者。 |
10
sincway 2014-12-06 22:34:53 +08:00
我前几天发现了,然后把 HTTPS 扫描关闭就没事了。。
|
11
9hills 2014-12-06 22:36:02 +08:00 via iPhone
https只能这么搞,但是搞后的安全性肯定差多了……
|