Como o avast! adicionar uma assinatura ao meu webmail?

10

Eu tenho a versão gratuita do avast! instalado no meu computador.
Quando acabei de enviar um email https://mail.google.comcom o Firefox, uma assinatura foi adicionada, dizendo que o email enviado é

Sem vírus. www.avast.com

insira a descrição da imagem aqui

Eu não estou perguntando sobre como desligá-lo, eu já fiz isso.

Mas estou curioso, como eles conseguiram adicioná-lo tecnicamente.

Editar (com base nos comentários):
verifiquei o Gerenciador de complementos do Firefox, mas não consigo encontrar nenhuma extensão ou plug-in do avast !.

Isso parece implicar que um programa instalado no meu computador possa modificar o conteúdo de um site que estou visualizando.

hirse
fonte
Parecia estar relacionado à segurança, onde mais eu poderia perguntar?
Hirse
1
@ hirse: Meu palpite é que você tem uma extensão do Firefox da Avast instalada. Tais extensões têm acesso aos dados de texto sem formatação, ou seja, antes da criptografia.
Steffen Ullrich
@SteffenUllrich, não consigo encontrar uma extensão ou plug-in do avast no Firefox Add-on Manager.
Hirse
2
Se isso não for feito com uma extensão do Firefox, eles interceptam o SSL, ou seja, você veria a CA da MITM como confiável no armazenamento da CA dos navegadores. Embora o navegador esteja provavelmente configurado para usar um proxy (local).
Steffen Ullrich
Parece que o Avast está usando métodos diferentes para diferentes navegadores, como explica esta resposta . O Firefox mostra certificados legítimos, então acho que eles usam o número 1 para isso. Com o Edge, eles parecem usar proxy com sua própria CA raiz.
techraf

Respostas:

8

Isso ocorre porque o seu software antivírus está atacando você por meio de um ataque man-in-the-middle. Ou pelo menos essa é a possibilidade que falarei abaixo.

As pessoas votaram negativamente nesta resposta e exigiram evidências de minhas alegações. Felizmente, alguém já adicionou links nos comentários. Kaspersky , Bitdefender (veja a próxima menção da palavra "Bitdefender") e avast! faça isso com certeza. Eu não sei sobre os outros. Você também pode assistir a este vídeo . (Infelizmente, o vídeo está em alemão, mas você ainda poderá ver o que está acontecendo, mesmo que não fale alemão. Comece a assistir às 1:40 neste caso.)

Vá para uma página https (como o site do GMail) e clique no pequeno cadeado à esquerda da barra de endereço do seu navegador.

Então você precisa descobrir como obter informações sobre a conexão. No Firefox, você precisa clicar no botão de seta à direita. Você já vê o que precisa ver, mas clica em "Mais informações" de qualquer maneira. Uma janela como esta será mostrada:

Como você pode ver, visitei a Wikipedia para criar esta captura de tela e a identidade do site é verificada por GlobalSign nv-sa. No seu caso, você verá o nome do seu software antivírus ou algo relacionado a isso.

O que está acontecendo aqui é que o software antivírus está direcionando o tráfego do seu navegador através de um software que ele fornece. Para ele intercepta o tráfego do seu navegador através do homem no meio.

Estou chamando isso de ataque man-in-the-middle, não apenas porque segue o mesmo princípio que um ataque malicioso man-in-the-middle, mas também porque pode aumentar severamente a vulnerabilidade do seu sistema se houver software malicioso (o autores que não podem assinar certificados e, portanto, não interceptam seu tráfego https sem que você perceba) usam seu software antivírus para ler o tráfego. Além disso, o Bitdefender diminui drasticamente a segurança da conexão, como você pode ver neste vídeo às 4:38 ou tentando você mesmo. O usuário - é claro - não é informado disso e, portanto, é atacado pelo software que usa para se defender. Mesmo que não tenha prejudicado o usuário, ainda seria um ataque intermediário de acordo com as definições que você pode encontrar on-line (incluindoo da Wikipedia ).

Isso é fácil o suficiente com http. Mas se você estiver usando https, você pensaria que o software antivírus não pode ler nada. Mas pode, porque você não está se conectando com segurança ao servidor da Web, mas ao seu software antivírus. Em seguida, ele lê o tráfego, o manipula, se desejar, e o criptografa novamente. (Portanto, há uma conexão segura entre o seu software antivírus e o GMail.)

Seu software antivírus pode apenas fazer com seus e-mails (ou qualquer outro tráfego!) O que ele quiser.

UTF-8
fonte
4
Não, não é o caso do Avast. O caminho do certificado para o mail.google.comFirefox é: GeoTrust Global CA -> Autoridade de Internet do Google G2 -> mail.google.com. Todos os certificados têm assinaturas corretas e o Avast ainda as injeta <div>no email.
techraf
Se uma empresa de antivírus que fizesse isso não estivesse no mercado por muito tempo, seria incapaz de reter clientes comerciais (e indivíduos mais experientes). Se você puder editar sua resposta com evidências para fundamentar sua reivindicação, eu ficarei feliz em votar.
3
@ Nathan Muitas empresas o fazem. Incluindo Kaspersky e Avast . Seu comentário não está informado, para dizer o mínimo.
techraf
Parece que você está certo, estou surpreso que eles façam isso, obrigado pelos links. Ainda bem que nunca usei nenhum deles! (se você fizer uma pequena edição na sua resposta [meu voto está bloqueado], eu votarei, desculpe) #
2
@BrentKirkpatrick Em nenhum momento o usuário foi informado de que seu tráfego será pesquisado nem que isso reduzirá severamente a segurança de suas conexões https (facilita a pesquisa por terceiros também). Mas como essa é uma discussão sobre o que qualifica como um ataque do tipo intermediário e não sobre coisas técnicas, pararei de discutir.
UTF-8