Recurso contra rastreamento do Avast vazou dados de usuários

Em mais uma vulnerabilidade de segurança grave, a ferramenta de antirrastreamento do Avast e AVG foi flagrada expondo dados de navegação — incluindo a inserção de senhas e logins — dos usuários assinantes do antivírus. O Antitracking é um recurso exclusivo de usuários pagantes do Avast e que tem como principal característica cessar qualquer forma de rastreamento ou monitoramento, como suas compras online, geolocalização e hábitos na rede.

Em um estudo conduzido pelo especialista em segurança David Eade, o antirrastreamento do Avast não só era ineficiente, como também facilitava o acesso indevido de invasores mal intencionados. Segundo Eade, o Antitracking do Avast não verifica a autenticidade dos certificados de segurança emitidos por um site, o que abre brechas para atacantes utilizarem esses certificados para monitorar a sessão de navegação.

Também conhecida como “Man in the Middle”, a técnica permite que um terceiro elemento — o invasor — observe a navegação do usuário e capture todos os dados de navegação daquela sessão, incluindo logins; senhas; números de cartão; endereços e muito mais.

(Fonte: Avast/Reprodução)

Ademais, quando habilitados na máquina, o sistema Antitracking do Avast e AVG tornavam a navegação ainda mais vulnerável, já que rebaixavam protocolos de segurança para o antigo TLS 1.0 e adotava métodos de criptografia ultrapassados. “Se um agente executar um proxy malicioso remotamente, ele pode capturar o tráfego HTTPS e credenciais gravadas para reutilizá-las depois,”, disse Eade. “Se um site precisa de autenticação em dois fatores (como senhas únicas), então o hacker ainda pode roubar uma sessão ativa ao clonar cookies após o login da vítima.”, completa.

A falha foi descoberta em agosto de 2019 e Eade logo entrou em contato com executivos Avast. Logo em seguida, as atualizações 1.5.1.172 do Avast e 2.0.0.178 do AVG corrigiram a vulnerabilidade.

Prontamente corrigido

Após a divulgação dessa vulnerabilidade, a Avast esclarece que o problema já foi solucionado em atualizações de segurança e agradeceu ao pesquisador pela realização da pesquisa. Confira parte da declaração:

“Muito obrigado a David Eade por reportar os problemas de segurança que afetavam o Antitracking Avast e AVG. Seguindo suas indicações, nós reparamos as vulnerabilidades nas versões 1.5.1.172 do Avast AntiTrack e versão 2.0.0.178 do AVG AntiTrack. [...] Graças ao relato feito por David a nós, os problemas foram solucionados por meio de uma atualização enviada a todos os usuários AntiTrack.”.

Pacote anual de proteção com AntiTracking por R$ 99/ano (Fonte: Avast/Divulgação)

Falha atrás de falha

Em janeiro deste ano, o Avast se envolveu com em outra grave situação com dados de usuários. Uma de suas subsidiárias, mais especificamente a Jumpshot, vendia dados de milhares de usuários Avast sem receber devida autorização.

O serviço oferecia a venda de dados por pacotes. Alguns desses produtos garantiam acesso a palavras chave procuradas no Google; histórico de cliques; tempo de acesso e outros detalhes minuciosos de hábitos na rede.

Depois da denúncia de sites de tecnologia como PCMag, a Avast declarou que encerrou qualquer coleta de dados desnecessária para a proteção da integridade do computador — descontinuando o compartilhamento de dados com a Jumpshot.