Los problemas siguen acumulándose para los antivirus gratis de Avast y AVG. Los sonados casos de espionaje destapados en las primeras semanas del año todavía siguen coleando y son muchos los que buscan alternativas a Avast para sus ordenadores. Para más inri, se acaban de conocer más problemas para la reputación de esta empresa. En este caso, son problemas con el software AntiTrack, complementario a los antivirus gratis de Avast y AVG. Aunque pensado para proteger nuestra privacidad, parece que estaba haciendo todo lo contrario. Os damos todos los detalles tras el salto.
La compañía de seguridad ha intentado calmar los ánimos con el lanzamiento de Avast Free Antivirus 2020. Esta nueva versión cuenta con nuevos ajustes de privacidad, además de no instalar de forma automática las extensiones para el navegador. La sección mejorada de privacidad permite desactivar la recolección de datos personales, aunque es algo que viene activado por defecto.
¿Qué pasa con el software AntiTrack?
David Eade ha publicado un informe de seguridad sobre la existencia de una vulnerabilidad en el software Avast y AVG AntiTrack que abre el ordenador a ataques Man-in-The-Middle (MiTM) y robo de datos. Esta afecta a todas las versiones de esta herramienta anteriores a Avast AntiTrack 1.5.1.172 y AVG AntiTrack 2.0.0.178. Los atacantes no necesitan acceso local para aprovechar la vulnerabilidad ni tampoco software especial.
Este software de Avast y AVG está diseñado para bloquear los rastreadores de publicidad y para evitar la monitorización invasiva de los usuarios. Se puede probar de forma gratuita, aunque se precio anual es de 49,99 euros al año. Según la web de Avast, nos permitirá saber en todo momento si nos están rastreando, mantener nuestra identidad en secreto, evitar la publicidad personalizada y borrar el rastro automáticamente.
El problema es que parece que no estaba haciendo su trabajo correctamente. El primer problema está causado por la forma de validar los certificados, lo que permite ataques Man-in-The-Middle (MiTM). El segundo problema, según este investigador de seguridad, es que “degrada” los protocolos de seguridad del navegador a TLS 1.0. Incluso si un servidor web soporta TLS 1.2, este software lo ignorará y utilizará TLS 1.0.
El tercer problema es que falla al proteger las claves de sesión. En el caso de Internet Explorer y Edge, el investigador de seguridad explica que “ignora las nuevas medidas de seguridad en favor de cifrados antiguos que se consideran inseguros hoy en día”. Un atacante con un proxy malicioso podría robar el tráfico HTTPS de la víctima e incluso clonar las cookies de sesión.
El problema está solucionado en las versiones Avast AntiTrack 1.5.1.172 y AVG AntiTrack 2.0.0.178, por lo que todos los usuarios deberán actualizar para no sufrir estas vulnerabilidades. David Eade confirma que informó a Avast de su existencia el 7 de agosto de 2019, pero que no se han solucionado hasta el 9 de marzo de 2020.