知名殺軟Avast又攤上麻煩了158元一年的高級功能爆出安全漏洞

• 2020 年 3 月 11 日
• 資訊

Avast是全球知名的殺毒/安全軟體，但是最近他們攤上了不少事，1月份爆出子公司收集用戶隱私數據賣錢的醜聞，最終迫使他們關閉了這項業務，下定壯士扼腕的決心以便重新獲得用戶的認可。

現在他們的軟體又被發現漏洞了，這次攤上事的是Avast的AntiTrack軟體，這是一個用於反追蹤應用，可以讓消費者在網路中隱身，避開煩人的廣告、推送等垃圾資訊，還可以偽裝資訊迷惑這些喜歡搜集用戶隱私的廣告商、服務商等。

Avast表示他們的AntiTrack軟體比其他的廣告攔截、瀏覽器隱身模式等工具都管用。

AntiTrack軟體在中國也有出售，售價158元一年，除了Windows還支援Mac平台。

正是AntiTrack反追蹤軟體被網路安全專家David Eade發現了漏洞，漏洞編號CVE-2020-8987，影響了Avast及AVG兩個系列的AntiTrack軟體。

這個漏洞實際上可能會帶來三種不同的問題，首先是可能無法正確驗證Https安全證書，使得攻擊者可能使用假的證書仿冒站點騙人。

其次，這個漏洞還有可能讓瀏覽器強制降級到TLS 1.0，即便禁用了TLS 1.0也有可能讓某些站點成功使用TLS 1.0連接成功。

第三點就是AntiTrack沒有遵守前向安全（forward secrecy），不能在所有支援這一特性的瀏覽器上正常工作。

在發現這個漏洞之後，David Eade已經向Avast報告了，後者處理這件事也很迅速，除了給David Eade發了獎金之外，也迅速修復了這些漏洞，Avast及AVG用戶升級最新版之後已經封堵了漏洞。