¿Cómo funciona avast! agregar una firma a mi correo web?

10

Tengo la versión gratuita de avast! instalado en mi computadora
Cuando acabo de enviar un correo electrónico https://mail.google.comcon Firefox, se agregó una firma que dice que el correo enviado es

Sin virus. www.avast.com

ingrese la descripción de la imagen aquí

No estoy preguntando cómo apagarlo, ya lo he hecho.

Pero tengo curiosidad, cómo lograron agregarlo técnicamente.

Editar (basado en comentarios):
Revisé el Administrador de complementos de Firefox, pero no puedo encontrar ninguna extensión o complemento de avast !.

Esto parece implicar que un programa instalado en mi computadora puede modificar el contenido de un sitio web que estoy viendo.

email anti-virus gmail hirse
fuente
Parecía estar relacionado con la seguridad, ¿dónde más podría preguntarlo?
hirse
1
@hirse: Supongo que tienes instalada una extensión de Firefox de Avast. Dichas extensiones tienen acceso a los datos de texto sin formato, es decir, antes del cifrado.
Steffen Ullrich
@SteffenUllrich, no puedo encontrar una extensión o complemento de avast en el Administrador de complementos de Firefox.
hirse
2
Si no se hace con una extensión de Firefox, entonces interceptan SSL, es decir, vería su CA MITM como confiable en la tienda de CA de los navegadores. Aunque el navegador probablemente esté configurado para usar un proxy (local).
Steffen Ullrich
Parece que Avast está utilizando diferentes métodos para diferentes navegadores, como explica esta respuesta . Firefox muestra certificados legítimos, así que supongo que usan el número 1 para ello. Con Edge, parecen estar representando su propia CA raíz.
techraf

Respuestas:

8

Eso es porque su software antivirus lo está atacando a través de un ataque de hombre en el medio. O al menos esa es la posibilidad de la que hablaré a continuación.

La gente ha rechazado esta respuesta y exigido pruebas de mis afirmaciones. Afortunadamente, alguien ya agregó enlaces en los comentarios. Kaspersky , Bitdefender (ver siguiente mención de la palabra "Bitdefender"), y avast! haz esto con seguridad. No sé sobre los demás. También puedes ver este video al respecto. (Desafortunadamente, el video está en alemán, pero aún podrás ver lo que está sucediendo incluso si no hablas alemán. Comienza a mirar a las 1:40 en este caso).

Vaya a una página https (como el sitio web de GMail) y haga clic en el pequeño candado a la izquierda de la barra de direcciones de su navegador.

Luego tiene que descubrir cómo obtener información sobre la conexión. En Firefox, debe hacer clic en el botón de flecha a la derecha. Ya ves lo que necesitas ver, pero haz clic en "Más información" de todos modos. Se mostrará una ventana como esta:

Como puede ver, visité Wikipedia para crear esta captura de pantalla y la identidad del sitio web es verificada por GlobalSign nv-sa. En su caso, verá el nombre de su software antivirus o algo relacionado con eso.

Lo que sucede aquí es que el software antivirus dirige el tráfico de su navegador a través de un software que proporciona. Para ello intercepta el tráfico de su navegador a través del hombre en el medio.

Estoy llamando a esto un ataque man-in-the-middle no solo porque sigue el mismo principio que un ataque man-in-the-middle malicioso, sino también porque puede aumentar severamente la vulnerabilidad de su sistema si el software malicioso (el los autores de los cuales no pueden firmar certificados por sí mismos y, por lo tanto, no interceptan su tráfico https sin que lo note) utiliza su software antivirus para leer el tráfico. Además, Bitdefender disminuye severamente la seguridad de la conexión como puede ver en este video a las 4:38 o probándolo usted mismo. Al usuario, por supuesto, no se le dice esto y, por lo tanto, es atacado por el software que usa para defenderse. Incluso si no perjudicara al usuario, seguiría siendo un ataque de hombre en el medio según las definiciones que puede encontrar en línea (incluyendoel de Wikipedia ).

Esto es bastante fácil de hacer con http. Pero si está usando https, pensaría que el software antivirus no puede leer nada. Pero puede hacerlo porque no se está conectando de forma segura al servidor web, sino a su software antivirus. Luego lee el tráfico, lo manipula si lo desea y lo encripta nuevamente. (Por lo tanto, existe una conexión segura entre su software antivirus y GMail).

Su software antivirus puede simplemente hacer con sus correos electrónicos (¡O cualquier otro tráfico!) Lo que quiera.

UTF-8
fuente
44
No, no es el caso de Avast. La ruta del certificado mail.google.comen Firefox es: GeoTrust Global CA -> Google Internet Authority G2 -> mail.google.com. Todos los certificados tienen firmas correctas y Avast todavía los inyecta <div>en el correo electrónico.
techraf
-1 una compañía antivirus que hizo eso no estaría en el negocio por mucho tiempo, sería incapaz de retener clientes comerciales (y personas inteligentes). Si puede editar su respuesta con evidencia para justificar su reclamo, con gusto votaré.
3
@Nathan Muchas compañías lo hacen. Incluyendo Kaspersky y Avast . Su comentario no está informado, por decir lo menos.
techraf
Parece que tienes razón, me sorprende que lo hagan, gracias por los enlaces. ¡Me alegro de que nunca haya usado ninguno de ellos! (si hace una pequeña edición a su respuesta [mi voto está bloqueado], votaré, lo siento)
2
@BrentKirkpatrick En ningún momento se le dice al usuario que se buscará su tráfico ni que esto reducirá severamente la seguridad de sus conexiones https (también hace que sea más fácil para terceros buscar el tráfico). Pero debido a que esta es una discusión sobre lo que califica como un ataque de hombre en el medio y no sobre cuestiones técnicas, dejaré de discutirlo.
UTF-8