Kaspersky Lab heeft een beveiligingslek in de anti-virussoftware gedicht waardoor gebruikers risico op man-in-the-middle-aanvallen liepen. Net als verschillende andere anti-virusaanbieders onderschept Kaspersky Lab het ssl-verkeer op computers waar het is geïnstalleerd.
Hiervoor installeert de beveiligingssoftware een eigen rootcertificaat en vervangt vervolgens in real-time alle certificaten van websites die de gebruiker bezoekt. Op deze manier kan de virusscanner het verkeer van en naar https-sites inspecteren. "Het onderscheppen van certificaten door Kaspersky heeft eerder al voor ernstige kwetsbaarheden gezorgd, maar een vlugge inspectie leert dat er nog steeds veel problemen aanwezig zijn", zegt Tavis Ormandy, onderzoeker bij Google.
De manier waarop Kaspersky gegenereerde certificaten opslaat is volgens Ormandy naïef en een beveiligingsrisico. De Russische virusbestrijder maakte namelijk alleen gebruik van de eerste 32-bits van een md5-hash als de sleutel. "Je hoeft geen cryptograaf te zijn om te begrijpen dat een 32-bits sleutel niet voldoende is om het brute-forcen van een collision binnen enkele seconden te voorkomen. Het produceren van een collision met een ander certificaat is eenvoudig", aldus Ormandy.
Een aanvaller tussen de gebruiker en het internet zou op deze manier man-in-the-middle-aanvallen op de gebruiker kunnen uitvoeren en zo versleuteld verkeer kunnen onderscheppen. Ormandy rapporteerde het probleem op 1 november aan Kaspersky Lab. Vorige week woensdag op 28 december werd de kwetsbaarheid verholpen. Daarnaast is er ook een beveiligingslek gepatcht waardoor een lokale gebruiker met verminderde rechten op het systeem een lokale certificaatautoriteit kon worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.