A Avast e AVG voltam a ficar no centro das atenções, depois de uma das suas ferramentas que supostamente deveria garantir privacidade aos dados pessoais dos utilizadores conter uma falha que poderia... expor os dados pessoais dos utilizadores.
A funcionalidade de “Anti Tracking” dos softwares de proteção da Avast e da AVG é uma função paga do software, que garante proteger os dados e privacidade dos utilizadores, ao bloquear diversos scripts e cookies de monitorização pela internet. No entanto, um estudo recente demonstra que esta funcionalidade pode não garantir a proteção suficiente e, pelo contrario, pode até facilitar a recolha de informação dos utilizadores.
O investigador de segurança David Eade revelou que a funcionalidade de Anti Tracking da Avast não verifica a autenticidade dos certificados dos sites, o que pode abrir a possibilidade dos atacantes ou sites maliciosos contornarem o bloqueio para monitorizar a sessão de navegação.
Através de um ataque conhecido como Man in the Middle, a sessão e dados dos utilizadores podem ser monitorizados através da exploração desta falha – o que inclui também todos os dados que sejam enviados pelo navegador, como dados de login, números de cartões de crédito, entre outros.
Além disso, a ativação do Anti Tracking reduz consideravelmente a segurança dos utilizadores ao reduzir os protocolos de segurança para o antigo TLS 1.0 e utilizando métodos de encriptação ultrapassados. As falhas foram descobertas em Agosto de 2019, tendo sido comunicadas à empresa que corrigiu as mesmas em atualizações seguintes. As correções foram implementadas alguns dias depois, na versão 1.5.1.172 do Avast Anti Track e versão 2.0.0.178 do AVG Anti Track.
Apesar de as falhas terem sido prontamente corrigidas, estas são mais um conjunto de vulnerabilidades descobertas sobre aplicações da Avast e AVG, entre as quais se encontra o potencial para roubo de dados ou adulteração de conteúdos.
Isto torna-se ainda mais grave tendo em conta que a funcionalidade trata-se de uma solução paga, pela qual os utilizadores tiveram de investir para ativar a mesma.
Nenhum comentário
Seja o primeiro!