Avast-Software hält dem Blick von Sicherheitsforschern nicht stand

Kaum ist die Aufregung darüber, dass Avast das Verhalten seiner Kunden überwacht und die Informationen an die Werbebranche verkauft hat, ab­ge­ebbt, schlagen schwerwiegende Sicherheitsmängel in der so genannten Sicherheits-Software ins Kontor. Der inzwischen recht bekannte Sicherheitsforscher Tavis Ormandy verweist bei­spiels­weise darauf, dass in Avasts Antivirus-Software ein eigener, kompletter JavaScript-Interpreter steckt. Die wichtigen Teile der Software laufen mit Systemrechten, um Wirkung entfalten zu können. Das gilt in dem Fall auch für den Interpreter. Das Ergebnis dessen: Jede Schwach­stelle, die in dem AV-Programm gefunden wird, muss unweigerlich sofort als kritisch angesehen werden.

Die Integration eines Interpreters mit so weitgehenden Rechten ist laut Ormandy vergleichbar damit, als wenn man jederzeit mit einer entsicherten Waffe in der Hosentasche herumläuft. Denn Angreifern genügt es, eine kleine Schwachstelle zu finden, mit der sich Code in die AV-Software einschleusen lässt. Dieser wird dann ohne weitere Prüfung mit vollen System­rechten und ohne weitere Sicherheitsbarriere wie eine Sandbox auf dem Rechner ausgeführt.

Schwachstellen-Trio in AntiTrack

Ein weiteres Problem findet sich in dem AntiTrack-Tool, das Avast seinen Kunden anbietet, um sich vor dem Tracking durch diverse Diensteanbieter im Netz zu schützen. Um das tun zu können, muss die Software einen Proxy betreiben, der sich in den Web-Traffic einklinkt und die inzwischen fast komplett verschlüsselten Verbindungen mit einem eigenen Zertifikat öffnet, um beispielsweise bestimmte Cookies ausfiltern zu können.

Ein solcher Prozess setzt natürlich voraus, dass rundherum eine bestmögliche Absicherung erfolgt, damit Angreifer nicht plötzlich Zugriff auf den gesamten unverschlüsselten Datenverkehr des Nutzers bekommen. Und diese Anforderung erfüllt Avast laut dem Sicherheitsforscher David Eade nicht. Unter der Kennung CVE-2020-8987 beschreibt er ein Trio von Schwachstellen, das im Zusammenspiel genutzt werden kann, um die Absicherung des Datenverkehrs auszuhebeln.

So werden HTTPS-Zertifikate nicht hinreichend verifiziert, so dass Angreifer mit selbst ausgestellten Kennungen agieren können. Des Weiteren drückt der Proxy die Verbindung zum Browser zwangsweise auf das weniger sichere TLS 1.0 herunter. Als dritter Faktor kommt eine ungenügende Unterstützung der Forward Secrecy, die für jede Session neue Schlüsselpaare generiert. Hinsichtlich dieser Probleme will Avast inzwischen zumindest Abhilfe geschaffen haben, die derzeit an die installierten Anwendungen per Update ausgeliefert wird.

Siehe auch: Avast wird beim Spitzeln erwischt und löscht die Daten nicht mal