Virusscanners zouden internetgebruikers tegen dreigingen moeten beschermen. Uit onderzoek van Hanno Bock blijkt echter, dat ze de veiligheid van HTTPS-sites juist ondermijnen. De Duitse beveiligingsonderzoeker onderzocht drie virusscanners, die van Avast, ESET en Kaspersky Lab. Hij ontdekte dat Kaspersky Lab gebruikers kwetsbaar maakt voor verschillende SSL-aanvallen. SSL zorgt onder meer voor een versleutelde verbinding tussen een website en gebruiker.
SSL is te herkennen aan HTTPS in de adresbalk. Omdat de verbinding is versleuteld, kunnen virusscanners niet de inhoud van het verkeer bekijken. Om die reden onderscheppen veel anti-virusleveranciers de HTTPS-verbinding via een eigen certificaat (zoals bij Superfish van Lenovo), aldus Bock. Avast onderschept standaard al het versleutelde verkeer. Kaspersky Lab onderschept alleen verbindingen naar bepaalde websites, zoals banksites. Bij ESET is het tegenhouden van SSL meestal uitgeschakeld; het kan echter wel worden ingeschakeld.
SSL-verbindingen
Een virusscanner die HTTPS-verkeer onderschept, is verantwoordelijk voor de geëncrypte verbinding. Van een beveiligingsbedrijf mag je verachten dat dit veilig gebeurt. De praktijk is volgens Bock echter anders: “Alle virusscanners die ik testte verlaagden de veiligheid van SSL-verbindingen op de één of andere manier.”
Certificaatpinning
Bij alle drie de onderzochte virusscanners blijkt ‘certificaatpinning’ niet meer te werken, terwijl deze maatregel juist Man-in-the-Middle-aanvallen moet voorkomen. Bock is teleurgesteld in de virusscanners die hij heeft onderzocht. Hij adviseert leveranciers om HTTPS-verkeer niet te onderscheppen.