V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
caizixian
V2EX  ›  分享发现

原来 Avast 这般扫描 HTTPS

  •  
  •   caizixian · 2014-12-06 19:42:56 +08:00 · 5162 次点击
    这是一个创建于 3675 天前的主题,其中的信息可能已经有所发展或是发生改变。

    传图太麻烦,图放在博客上了
    http://www.ivancai.me/2014/12/06/how-avast-scan-https-connections.html

    最近用了一台装有Avast 2015的电脑,上网时闲着没事干看了看某个网站的证书。结果发现是Avast! Web/Mail Shield Root颁发的。我感到很惊奇,在杀毒软件厂商中,就听过Symantec和COMODO有经营证书,什么时候Avast也来插上一脚了?

    没管它,继续上网。又发现了一个网站使用了Avast颁发的证书。什么时候这货变得这么流行了,难道有免费证书?放狗一搜,毛都没看到。这不对啊,一个存在于系统信任的根证书存储的CA居然没有公开卖证书,还有这么多人用,太不对头了。

    点开右下角,在隐藏的托盘图标中发现了一个Avast,啊,好像明白了什么。查看CA的证书生成日期,一问,原来和Avast的安装日期一致。再仔细翻翻Avast的设置,在网页防护设置中发现了启用HTTPS扫描。

    这下基本明白了,敢情这货替换了所有HTTPS网站的证书啊。

    猜测原理:软件安装时,利用OpenSSL(“关于”中明确指出有使用OpenSSL库)生成根证书,然后每访问一个网站就颁发对应的证书,然后利用私匙解密传输数据进行扫描。

    那么问题来了,这样真的安全吗?MITM Attack可以防范吗?没有仔细研究,但这确实是一个巨大的安全隐患。

    13 条回复    2014-12-08 21:23:47 +08:00
    rainy3636
        1
    rainy3636  
       2014-12-06 19:46:29 +08:00
    有点goagent的感觉…
    wy315700
        2
    wy315700  
       2014-12-06 19:48:17 +08:00
    卡巴也是这么干的
    Halry
        3
    Halry  
       2014-12-06 19:57:13 +08:00 via Android
    nod没有,可能根本不扫描https
    402645707
        4
    402645707  
       2014-12-06 20:16:07 +08:00
    首先Avast作为国际大厂,应该不会把数据全往上传吧,而且这种东西在用户协议中也有写“会在不侵犯使用者隐私的情况下进行防护”,当然天朝的国际大厂。。。sony的baidu门应该有人知道吧,丢脸都丢到国外了,别人好心集成一个sdk,你却把用户资料往上传。。。“会根据中华人民共和国相关政策进行工作”直白点就是传
    马上中考了,表示正在疯狂补英语,必须得出国啊,不然日子没法过了
    coolcfan
        5
    coolcfan  
       2014-12-06 20:24:09 +08:00
    凡是带HTTPS扫描的杀软都会这么干吧。
    Halry
        6
    Halry  
       2014-12-06 20:28:23 +08:00 via Android
    @402645707 初中?羡慕现在的小孩都有钱,本人对高考没希望了,以后还是洗碗算了
    tanyuxiang
        7
    tanyuxiang  
       2014-12-06 20:38:27 +08:00
    除了这般,还有啥办法。。。。
    yfdyh000
        8
    yfdyh000  
       2014-12-06 20:43:38 +08:00
    所有HTTPS扫描的软件都是用这种中间人的方法吧。只要内部的检查处理没疏漏就没什么问题。
    其他有HTTPS扫描的杀软以及Fiddler等都是这么做的,Avast只是后来者。
    ensonmj
        9
    ensonmj  
       2014-12-06 22:15:29 +08:00
    @402645707 知道斯诺登不?还信任所谓的国际大厂?
    sincway
        10
    sincway  
       2014-12-06 22:34:53 +08:00
    我前几天发现了,然后把 HTTPS 扫描关闭就没事了。。
    9hills
        11
    9hills  
       2014-12-06 22:36:02 +08:00 via iPhone
    https只能这么搞,但是搞后的安全性肯定差多了……
    402645707
        12
    402645707  
       2014-12-07 21:42:25 +08:00
    @ensonmj 别拿一个资本主义的公务员和我扯,看我大天朝社会主义,揭露就揭露,弄几没名没姓的小官或干脆直接弄一大的,责任往上推推推,然后该干嘛继续干嘛
    ensonmj
        13
    ensonmj  
       2014-12-08 21:23:47 +08:00
    @402645707 你以为资本主义就不是这样?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2658 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:21 · PVG 14:21 · LAX 22:21 · JFK 01:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.