Google, Mozilla, Cloudflare alsmede onderzoekers van twee universiteiten hebben kritiek geuit op het onderscheppen van https-verkeer door anti-virussoftware. Volgens de onderzoekers en bedrijven heeft dit namelijk vergaande gevolgen voor de veiligheid van gebruikers en hun internetverbinding.
Https-verkeer is standaard niet toegankelijk voor beveiligingssoftware. Door bijvoorbeeld een eigen rootcertificaat op computers te installeren kunnen de beveiligingspakketten de inhoud van dit verkeer toch analyseren. Een werkwijze die anti-virusproducenten volgens de onderzoekers steeds vaker toepassen. De manier waarop anti-virusbedrijven het https-verkeer onderscheppen gaat echter ten koste van de beveiliging ervan. Daarnaast introduceren de virusscanners allerlei kwetsbaarheden, aldus het onderzoek.
Voor het onderzoek keken de onderzoekers naar bijna 8 miljard beveiligde verbindingen naar de updateservers van Firefox, verschillende populaire webwinkels en het contentdistributienetwerk van Cloudflare. 4 procent van de verbindingen naar de Firefox-servers werd onderschept. Bij de webwinkels was dit 6,2 procent. Het aantal onderschepte Cloudflare-verbindingen kwam op 10,9 procent uit.
Vervolgens analyseerden de onderzoekers de veiligheid van de beveiligde verbindingen. In 97 procent van de Firefox-verbindingen ging de veiligheid door het onderscheppen achteruit. Bij de webwinkels was dit 32 procent en in het geval van Cloudflare bleek dat 54 procent van de verbindingen minder veilig was geworden. Niet alleen zorgen de virusscanners ervoor dat er zwakke cryptografische algoritmes worden gebruikt, ze ondersteunen ook bekende kwetsbare algoritmes waardoor een aanvaller tussen gebruikers en het internet versleuteld verkeer kan ontsleutelen.
"Hoewel de securitygemeenschap al lang weet dat beveiligingsproducten verbindingen onderscheppen, hebben we het probleem grotendeels genegeerd, omdat we dachten dat het alleen een klein deel van de verbindingen betrof. We hebben echter ontdekt dat het onderscheppen op grote schaal plaatsvindt met zorgwekkende gevolgen. We hopen door deze bevindingen openbaar te maken dat fabrikanten hun securityprofielen verbeteren en de securitygemeenschap alternatieven voor het onderscheppen van https gaat bespreken", zo laten de onderzoekers in hun conclusie weten.
Ze vinden in ieder geval dat anti-virusbedrijven het onderscheppen van https-verkeer moeten heroverwegen. Virusscanners draaien namelijk al lokaal op een computer en hebben zodoende al toegang tot het lokale bestandssysteem, geheugen van de browser en alle content die via https wordt geladen. "Gegeven hun geschiedenis van verkeerde tls-configuraties en beveiligingslekken die aanvallers op afstand code laten uitvoeren, adviseren we anti-virusbedrijven ten zeerste om te heroverwegen of het onderscheppen van https verantwoordelijk is", zo stellen de onderzoekers (pdf).
Deze posting is gelocked. Reageren is niet meer mogelijk.