火绒的加密连接扫描功能可导致设备安全性下降、使网络监听更容易得手

Orca, Aug. 27, 2024

受影响的软件

火绒安全个人版 所有大版本号为6(所有版本号为6.x.x.x)的版本

一、背景知识

超文本传输安全协议 HTTPS 是一种通过计算机网络进行安全通信的传输协议。HTTPS 最常见的用途是浏览器通过 HTTPS 协议与远程服务器通过加密连接,在把网页传输到你的设备上的同时,使用加密阻止链路上的其他人窥视你的流量。曾经,HTTPS 只被用于传输敏感的金融信息和登录凭据,但在棱镜事件后, HTTPS 获得了推广使用,现时绝大多数网页都支持 HTTPS 。

维基百科

中间人攻击 (Mallory-in-The-Middle Attack)是指攻击者分别与通信的双方建立独立的联系,并交换其所收到的数据的攻击方式。通信的双方会以为他们正在通过私密的渠道与对方直接通话,但实际上整个会话都被攻击者控制。你可以想象一下你在和隔着你同桌的另外一个人传小纸条,但你不知道你的同桌是个会偷看经手的小纸条、甚至动笔篡改纸条上写的内容的跟踪狂。

维基百科

针对 HTTPS 的中间人攻击通常比较难以不惊动受害者而进行,因为为了窃听被加密的内容,攻击者需要让加密在自己这里中止,然后再伪装成服务器和客户端(主要是浏览器)建立连接。但浏览器通常会验证 HTTPS 服务器提供的证书是否是可信赖的根证书颁发机构颁发的,而这个是攻击者无法伪造的,因此中间人攻击的受害者会发现ta的浏览器突然开始弹证书错误警告,这是因为浏览器发现攻击者喂给它的证书不正确,于是中断了连接。

截图,Firefox 访问一个网站,但因为证书错误而显示了一个警告而且没有继续

HTTPS 检查(又称 HTTPS 拦截,即上文提到的“加密连接扫描功能”)是一种通过在本地或组织外联网关上运行中间人攻击,以检查可能隐藏于加密连接(主要是 HTTPS,但也可以用于邮件等其他服务)中的恶意程序或恶意流量的技术,或者阻止对特定网络资源的访问。通常, HTTPS 检查技术由网络管理员部署,因此其本身并不是网络攻击。 Cloudflare – 什么是 HTTPS 检查?

部分消费者用安全软件也提供 HTTPS 检查功能,如卡巴斯基和Avast。 卡巴斯基 Avast

火绒安全是火绒网络科技有限公司开发的一款系统安全软件,包含病毒防护、入侵检测等功能。在2024年新发布的6.0版本中,火绒新增了“加密连接扫描功能”,该功能默认启用火绒安全软件6.0内测版发布 Archive

二、具体的安全问题

如果做得好的话, HTTPS 检查可能可以给用户提供增强的安全性[来源请求],遗憾的是,很多 HTTPS 检查功能都含有各种各样的安全问题,导致使用这些功能的用户安全性严重受损。

2015年,德国的记者与研究者 Hanno Böck 发现: 卡巴斯基的 HTTPS 检查功能导致中间人可以强迫客户端(卡巴斯基的流量代理程序)使用出口级别RSA加密算法(56位安全性)与服务器通信(FREAK攻击),且支持不安全的TLS加密压缩功能(可导致CRIME攻击)。 ESET 的 HTTPS 检查功能不支持 TLS 1.2 ,强迫用户使用较弱的加密算法。 Avast 和卡巴斯基的 HTTPS 检查功能接受离谱的、长度为 8 位的 DH 密钥交换配置,使流量可以轻松被解密。 所有三者均未实现 OCSP ,导致泄密的证书可能被用于中间人攻击。

研究者本人的博客(英文)

媒体报道(英文)

2017年,密歇根大学、Mozilla、谷歌、CloudFlare、加州大学伯克利分校等的研究者发现PDF),部分设计有问题的 HTTPS 检查功能会导致终端用户无法识别有问题的 TLS 服务器,包括部分使用自签名的、过期的、未知的证书颁发机构颁发的证书的服务器。这导致 TLS 的安全性被严重弱化,终端用户可能被恶意攻击者实施中间人攻击而毫无所知。US-CERT为此发布了一篇警告,提醒如果风险评估认定必须安装此类产品,网络管理员需要在部署前先检查这个产品是否可以正确地验证 TLS 证书,因为无法正确验证 TLS 证书的 HTTPS 检查产品会严重弱化 HTTPS 提供的安全保证。

通过实验,我们发现火绒安全个人版 6.x 上的“加密连接扫描功能”也有这个问题。通过在安装火绒安全的计算机上访问 badssl.com ,可以发现火绒的 HTTPS 检查功能会不经过检查就接受过期的、自签名的、由不受信任的根证书颁发机构颁发的证书,这可能导致启用了这个功能的火绒用户被中间人攻击、通过HTTPS传输的敏感信息遭泄漏而无法察觉。

Firefox 访问 BadSSL 的截图,这个界面显示它尝试访问数个有证书错误的域名成功,表示浏览器或者 HTTPS 检查产品有问题。这张图片只是用于演示的, Firefox 实际上不受此问题影响。

(还记得吗,这个功能是默认启用的)

三、其他问题

还有一点问题:

即使在设置内关闭(设置-病毒防护-Web扫描-加密连接扫描)了加密连接扫描功能并删除了根证书(Win-R运行”Certmgr.msc”-左侧边栏“受信任的根证书颁发机构”-证书-找到“Huorong Anti-Virus Personal Root Certificate”右键删除),火绒也会在下次重启后生成并添加一张新的根证书。

四、推荐的弥补措施(致用户)

如果可以,请卸载火绒安全。如果必须使用杀毒软件,使用Microsoft Defender (Windows 自带的病毒防护功能)。

在此类问题曝光的 7 年后,火绒推出自己的 HTTPS 检查功能前都没有检查过它是否含有这些问题,这表示火绒网络科技有限公司没有在推出功能之前思考过这项功能可能对用户导致的负面影响,也没有吸取实现此类功能的先行者的教训。这次严重过失中,火绒对用户不负责任的态度将所有火绒的用户置于被网络攻击者威胁的风险之中。

如果因故你不能删除火绒,请至少关闭此功能。

火绒主界面-设置(左下角齿轮按钮)-病毒防护-Web扫描-加密连接扫描

五、推荐的弥补措施(致火绒)

修好你的软件!!!对你的疏忽负起责任来!!!

HTTPS 检查功能 7 年前就已经有杀毒软件踩过坑了,前人的经验都在网上挂着你们还要坚持摸石头过河???还是说你觉得你很行,可以闭着眼睛走路???这就是你“很行”的表现吗???

六、为什么不“负责任地漏洞披露”?

因为我们认为“负责任地漏洞披露”是业界用来对安全研究者点煤气灯的谎言。写出这种愚蠢的功能、这种愚蠢的安全问题的又不是我们,我们有什么需要负责的?

“负责任地漏洞披露”是错的 Archive

七、捐款💖

如果你想要给我点钱,请考虑在

https://cyberpunk.lol/tags/MutualAid

里找一个Mutual Aid帖子捐款,或者捐款给Organization for Transformative Works

https://donate.transformativeworks.org/otwgive

感谢。💖

该文为 24+i 虚数时区倡议组织所作。