Na het blokkeren van het domein sans.org, is McAfee's SiteAdvisor weer de fout ingegaan, dit keer betreft het een beveiligingsbedrijf dat kritisch over de virusscanner van McAfee is. Het Duitse beveiligingsbedrijf N.Runs kwam laatst met de bewering dat het 800 lekken in virusscanners heeft gevonden, waaronder ook in die van McAfee, waardoor systematische bedrijfsspionage en de ontregeling van e-mailverkeer mogelijk zijn.

Volgens McAfee zijn de kwetsbaarheden niet ernstig en is het voornamelijk marketingpraat van de Duitsers. Die reageerden weer op hun beurt met de stelling dat anti-virusfabrikanten traag zijn met het verhelpen van beveiligingsproblemen in hun software en dat McAfee geen rekening met professionele aanvallers houdt.

False positive

Beveiligingsonderzoeker Dancho Danchev ontdekt dat McAfee's SiteAdvisor nu waarschuwt voor de site als je die via Yahoo opzoekt. "De samenzweringstheorieën achterwege gelaten, is een false positive die in de twee na populairste zoekmachine geïntegreerd is, gewoon fout. Zeker als andere detecties de site niet als gevaarlijk beschouwen. Het komt er allemaal op neer hoe je kwaadaardige activiteit definieert en waar je precies je gebruikers tegen probeert te beschermen."

Volgens de onderzoeker is de methode die SiteAdvisor toepast voor het beoordelen van websites verkeerd. Het kan bijvoorbeeld niet herkennen als een site via SQL-injectie is gehackt, maar beveiligingssoftware en penetratie tools die in een duidelijke directory staan worden wel als gevaar bestempeld. De lijst met false positives lijkt eindeloos. Ook in het geval van de Hack in the Box security conferentie, Defcon.org, Zone-H, Invisiblethings.org en andere sites heeft McAfee liever niet dat haar gebruikers deze pagina's bezoeken.

"Deze sites zijn niet via SQL geïnjecteerd, bevatten geen iframes of andere malware. Het is hetzelfde als je een wapenwinkel vanwege de inventaris een foute winkel noemt." De generalisatie die McAfee hanteert is fout en genereert veel false positives.