Come funziona avast! aggiungere una firma nella mia webmail?

Ho la versione gratuita di avast! installato sul mio computer.
Quando ho appena inviato un'e-mail https://mail.google.comcon Firefox è stata aggiunta una firma, dicendo che la posta inviata è

Virus-esente. www.avast.com

Non sto chiedendo come spegnerlo, l'ho già fatto.

Ma sono curioso di sapere come sono riusciti ad aggiungerlo tecnicamente.

Modifica (in base ai commenti):
ho controllato Gestione componenti aggiuntivi di Firefox, ma non riesco a trovare alcuna estensione o plugin da avast !.

Ciò sembra implicare che un programma installato sul mio computer può modificare il contenuto di un sito Web che sto visualizzando.

email anti-virus gmail

— Hirse
fonte

Sembrava legato alla sicurezza, dove altro potrei chiederlo?

— Assumere il

@hirse: la mia ipotesi è che tu abbia installato un'estensione per Firefox da Avast. Tali estensioni hanno accesso ai dati in chiaro, cioè prima della crittografia.

— Steffen Ullrich,

@SteffenUllrich, non riesco a trovare un'estensione o un plug-in di avast in Gestione componenti aggiuntivi di Firefox.

— hirse,

Se non viene eseguito con un'estensione di Firefox rispetto all'intercettazione SSL, ovvero vedresti la loro CA MITM come attendibile nell'archivio CA dei browser. Sebbene il browser sia probabilmente configurato per utilizzare un proxy (locale).

— Steffen Ullrich,

Sembra che Avast stia usando metodi diversi per browser diversi come spiega questa risposta . Firefox mostra certificati legittimi, quindi immagino che usino il numero 1 per questo. Con Edge sembrano inoltrare un proxy con la propria CA principale.

— techraf

Questo perché il tuo software antivirus ti sta attaccando tramite un attacco man-in-the-middle. O almeno questa è la possibilità di cui parlerò di seguito.

Le persone hanno declassato questa risposta e richiesto prove per le mie affermazioni. Fortunatamente, qualcuno ha già aggiunto link nei commenti. Kaspersky , Bitdefender (vedi la prossima menzione della parola "Bitdefender") e avast! fallo di sicuro. Non so degli altri. Puoi anche guardare questo video al riguardo. (Sfortunatamente, il video è in tedesco, ma sarai comunque in grado di vedere cosa sta succedendo anche se non parli tedesco. In questo caso inizia a guardare alle 1:40.)

Vai su una pagina https (come il sito Web GMail) e fai clic sul piccolo lucchetto a sinistra della barra degli indirizzi del tuo browser.

Quindi devi capire come ottenere informazioni sulla connessione. In Firefox, devi fare clic sul pulsante freccia a destra. Vedi già quello che devi vedere ma fai comunque clic su "Ulteriori informazioni". Verrà mostrata una finestra come questa:

Come puoi vedere, ho visitato Wikipedia per creare questo screenshot e l'identità del sito Web è verificata da GlobalSign nv-sa. Nel tuo caso, vedrai il nome del tuo software antivirus o qualcosa correlato a questo.

Quello che sta succedendo qui è che il software antivirus sta indirizzando il traffico del tuo browser attraverso un software che fornisce. Ad esso intercetta il traffico del tuo browser attraverso l'uomo nel mezzo.

Lo sto chiamando un attacco man-in-the-middle non solo perché segue lo stesso principio di un attacco man-in-the-middle dannoso, ma anche perché può aumentare gravemente la vulnerabilità del tuo sistema se software dannoso (il gli autori dei quali non possono firmare certificati da soli e quindi non intercettare il traffico https senza che te ne accorga) utilizzano il tuo software antivirus per leggere il traffico. Inoltre, Bitdefender riduce notevolmente la sicurezza della connessione, come puoi vedere in questo video alle 4:38 o provandolo tu stesso. All'utente - ovviamente - non viene detto questo e quindi viene attaccato dal software che usano per difendersi. Anche se non danneggiasse l'utente, sarebbe comunque un attacco man-in-the-middle secondo le definizioni che puoi trovare online (tra cuiquello su Wikipedia ).

Questo è abbastanza facile da fare con http. Ma se stai usando https, penseresti che il software antivirus non sia in grado di leggere nulla. Ma è possibile perché non ti stai collegando in modo sicuro al server web ma al tuo software antivirus. Quindi legge il traffico, lo manipola se lo desidera e lo crittografa di nuovo. (Quindi esiste una connessione sicura tra il tuo software antivirus e GMail.)

Il tuo software antivirus può quindi fare semplicemente con le tue e-mail (o qualsiasi altro traffico!) Quello che vuole.

— UTF-8
fonte

No, non è il caso di Avast. Il percorso del certificato mail.google.comsu Firefox è: GeoTrust Global CA -> Google Internet Authority G2 -> mail.google.com. Tutti i certificati hanno firme corrette e Avast continua a inoltrarlo <div>nella posta elettronica.

— techraf

-1 un'azienda anti-virus che ha fatto che non sarebbe in attività a lungo, non sarebbe in grado di fidelizzare i clienti aziendali (e le persone esperte). Se riesci a modificare la tua risposta con prove a sostegno della tua richiesta, voterò volentieri.

@Nathan Molte aziende lo fanno. Compresi Kaspersky e Avast . Il tuo commento è disinformato per non dire altro.

— techraf

Sembra che tu abbia ragione, sono stupito che lo facciano, grazie per i collegamenti. Sono contento di non aver mai usato nessuno dei due! (se apporti una piccola modifica alla tua risposta [il mio voto è bloccato], voterò in alto, scusami)

@BrentKirkpatrick In nessun momento viene detto all'utente che il loro traffico verrà cercato né che ciò ridurrà notevolmente la sicurezza delle loro connessioni https (rende anche più facile per le terze parti effettuare ricerche nel traffico). Ma poiché si tratta di una discussione su ciò che si qualifica come un attacco man-in-the-middle e non su questioni tecniche, smetterò di discuterne.

— UTF-8