„Bezpieczna” przeglądarka Avast SafeZone nie taka znowu bezpieczna

18 grudnia 2015 roku Tavis Ormandy, znany ostatnio jako „pogromca zabezpieczeń antywirusów” informuje czeskiego producenta Avast, jakoby jego „bezpieczna” przeglądarka SafeZone bazująca na projekcie Chromium posiadała poważną lukę, dzięki której napastnik mógłby uzyskać dostęp do historii przeglądanych stron internetowych, haseł i innych danych w niej przechowywanych.

Podatność została zgłoszona, Avast miał czas na załatanie dziury, a Tavis Ormandy informuje o tym cały świat.

Co ciekawe, poufne dane z tej przeglądarki mogły zostać wykradzione nawet wtedy, kiedy ta nie była uruchomiona. Tavis przedstawił dowód koncepcji (and. proof of concept) pokazując, w jaki sposób potencjalny napastnik może odczytać dowolny plik w systemie, jeśli zmusi swoją ofiarę do kliknięcia w specjalnie przygotowany link. Nawet nie wymaga się od napastnika, by ten poznał szukaną nazwę pliku lub ścieżkę do pliku. Potencjalny przestepca w ramach ataku może wyświetlić strukturę plików, wysłać dowolne żądanie uwierzytelniania i zwrócić wynik zawartości ciasteczek, poczty elektronicznej z gmail, czy danych dotyczących bankowości internetowej.

Demo: https://lock.cmpxchg8b.com/xour2Iab/avastium_demo.html , które uzyskuje dostęp do dysku C:\ i wyświetla zawartość (musisz mieć zainstalowanego Avasta z SafeZone).

Avast podobno załatał już zgłoszoną lukę w wersji antywirusów 2016.11.1.2253.

Na razie gorąco zalecamy, by nie korzystać z podobnych wynalazków firm antywirusowych. Nie wiadomo, ilu jeszcze producentów wziął sobie Travis na ruszt. Może niedługo znowu będziemy świadkami kolejnego błędu w programie antywirusowym, które przecież powinien nas chronić, a nie dodatkowo stwarzać kolejną lukę w zabezpieczeniach?

Jeżeli musicie, przelewy internetowe róbcie przy pomocy maszyny wirtualnej z systemem Linux lub zainstalujcie obraz ISO na nośniku USB / CD / DVD. Sprawdzajcie też dokładnie wiadomości SMS od banku – końcówkę konta bankowego oraz kwotę - musi się zgadzać z tym, co wprowadziliście w przeglądarce.




Podobne artykuły

Zadaniem antywirusa jest ochrona, prewencyjna protekcja, ale wielu ekspertów zgodzi się dzisiaj, że...

Komentarze

Obrazek użytkownika krystian

mam avast safe zone browser, , do tej pory była opjca TRYB BANKOWOŚCI" od miesiąca NIE MA JEJ " wszystkie odnośniki w tej sprawie nie są możliwe do przywrócenia tej opcji, Uważam że tak się nie postępuje z użytkownikami ktorzy zapłacili za zainstalowanie AVASTU, Nigdzie nie znajduję wyjaśnienia w tej sprawie, pozdrawiam

Obrazek użytkownika Wojtek 60+

Mam Avast Premier. Od tygodnia zauważyłem że tryb bankowy nie działa.
Przeglądarka Avast Safe Zone otwiera się - owszem, przy wyborze trybu bankowego, lub z zakładki Narzędzia, ale nic się nie wczytuje.
Żadna strona się nie otwiera. Nawet nie wczytuje się.
Może to i dobrze, bo jest to teraz bez wątpienia najbezpieczniejsza przeglądarka świata, tylko mało ciekawa.
Próbowałem coś tam, coś tam, ale nic to nie dało.
Myślałem że to tylko mój problem, ale wpis Krystiana dowodzi, że raczej nie.
Ktoś wie o co tu chodzi?

Obrazek użytkownika Adrian Ścibor

#2 Jak dobrze rozumie, z poziomu przeglądarki SafeZone nie wczytują się strony WWW? Jaki komunikat otrzymujesz?

Obrazek użytkownika WOJTEK 60+

Nie ma żadnego komunikatu, przeglądarka wygląda jak jakaś strona PDF - nic się nie dzieje.
Wpisanie adresu strony nic nie daje. Nie otwierają się też Ustawienia, Historia,.. itp.

Obrazek użytkownika Adrian Ścibor

#4 Mogę zaproponować na obecną chwilę odinstalowanie SafeZone z poziomu antywirusa (jest taka możliwość) lub jego przeinstalowanie - całkowite usunięcie i ponowna instalacja. Jeśli nie pomoże - pomoc techniczna Avasta. Jeśli i to nie pomoże, to zrezygnuj z SafeZone na rzecz przeglądarki Bitdefender Safepay: https://avlab.pl/twoj-dostep-do-e-bankowosci-z-bezpieczna-przegladarka-b... Chociaż rozumiem, że płacąc za Avast Premier chcesz korzystać ze wszystkich funkcji, jakie daje to oprogramowanie. Na początek jednak spróbuj reinstalację / kontakt z pomocą techniczną avasta,

Obrazek użytkownika WOJTEK 60+

Odinstalowywałem i instalowałem ten moduł raz z poziomu antywirusa, a drugi raz poprzez "programy i funkcje" - opcja "zmień".
Bez rezultatu.
Spróbuję jeszcze zrobić to samo z całym Avast Premier, ale teraz nie bardzo mam czas.

Obrazek użytkownika WOJTEK 60+

Deinstalacja i ponowna instalacja Avast Premier załatwiła problem.
Jest już w porządku.

Dodaj komentarz