知名杀软 Avast 又摊上麻烦了 158 元一年的高级功能爆出安全漏洞

出处：快 科技 作者：宪瑞 

Avast 是全球知名的杀毒 / 安全软件，但是最近他们摊上了不少事，1 月份爆出子公司收集用户隐私数据卖钱的丑闻，最终迫使他们关闭了这项业务，下定壮士扼腕的决心以便重新获得用户的认可。

现在他们的软件又被发现漏洞了，这次摊上事的是 Avast 的 AntiTrack 软件，这是一个用于反追踪应用，可以让消费者在网络中隐身，避开烦人的广告、推送等垃圾信息，还可以伪装信息迷惑这些喜欢搜集用户隐私的广告商、服务商等。

Avast 表示他们的 AntiTrack 软件比其他的广告拦截、浏览器隐身模式等工具都管用。

AntiTrack 软件在国内也有出售，售价 158 元一年，除了 Windows 还支持 Mac 平台 。

正是 AntiTrack 反追踪软件被网络安全专家 David Eade 发现了漏洞，漏洞编号 CVE-2020-8987，影响了 Avast 及 AVG 两个系列的 AntiTrack 软件。

这个漏洞实际上可能会带来三种不同的问题，首先是可能无法正确验证 Https 安全证书，使得攻击者可能使用假的证书仿冒站点骗人。

其次，这个漏洞还有可能让浏览器强制降级到 TLS 1.0，即便禁用了 TLS 1.0 也有可能让某些站点成功使用 TLS 1.0 连接成功。

第三点就是 AntiTrack 没有遵守前向安全（forward secrecy），不能在所有支持这一特性的浏览器上正常工作。

在发现这个漏洞之后，David Eade 已经向 Avast 报告了，后者处理这件事也很迅速，除了给 David Eade 发了奖金之外，也迅速修复了这些漏洞，Avast 及 AVG 用户升级最新版之后已经封堵了漏洞。