آنتی‌ویروس‌ می‌تواند کامپیوترمان را آسیب‌پذیرتر کند

اخیرا دو محقق در کنفرانس BSides 2016 که در سانفرانسیسکو برگزار شد، اعلام کردند بسیاری از آنتی‌ویروس‌های شناخته‌شده، دارای ضعف‌هایی جدی هستند که امنیت کامپیوترهای شخصی را تضعیف کرده و آن‌ها را در برابر حمله‌ی ویروس‌ها آسیب‌پذیرتر می‌کنند.

    ‌‌‌     ‌

مشکل از آن‌جا ناشی می‌شود که بسیاری از انواع نرم‌افزارهای آنتی‌ویروس به عمق ویندوز نفوذ کرده و در اجرای فرایندهای سیستم عامل و نرم‌افزارهای مختلف، دخالت می‌کنند. به این عملیات اصطلاحا «هوک کردن» گفته می‌شود. آنتی‌ویروس‌ها این کار را برای امنیت بیشتر ویندوز انجام می‌دهند، اما آن‌ها بیشتر اوقات، هوک‌های خود را آزاد می‌گذارند؛ ازاین‌رو مهاجمان خارجی می‌توانند از آن‌ها سوءاستفاده کرده و ویندوز را آلوده کنند.

«تامر بیتون» (Tomer Bitton)، یکی از محققان انسیلو (enSilo)، در این زمینه می‌گوید: «تقریبا تمام محصولاتی که تست شدند، حداقل در برابر یک مورد، آسیب‌پذیر بودند.» بیتون، در ماه دسامبر عنوان کرد که AVG ،Kaspersky Lab و Intel McAfee ناایمن هستند؛ البته این محصولات همگی سپتامبر گذشته اصلاح شدند. در سخنرانی کنفرانس BSides 2016، بیتون و همکارش اشاره کردند که در محصولات دیگر هم مشکلاتی پیدا کرده‌اند اما در حال حاضر نمی‌توانند چیزی اعلام کنند. بیتون گفت: «ما برای رفع این مشکلات با کمپانی‌های فروش آنتی‌‌ویروس‌، همکاری نزدیکی داریم؛ بیشتر مشکلات تاکنون تصحیح شده‌‌اند، اما هنوز آنتی‌ویروس‌هایی وجود دارند که آسیب‌پذیر هستند، بنابراین نام آن‌ها را نمی‌بریم.»

در یکی دو سال گذشته، متخصصان امنیت اطلاعات، متوجه شده‌اند که آنتی‌ویروس‌ها خود می‌توانند برای آلوده کردن رایانه‌ها مورد سوءاستفاده قرار بگیرند. آنتی‌ویروس‌ها سطح حمله‌ی (Attack Surface) وسیعی دارند که در آن، بر تمام پورت‌های شبکه‌ها نظارت می‌شود، تمام برنامه‌های متفرقه بررسی می‌شوند و به بدافزارها به‌طور مستقیم پرداخته می‌شود. آن‌ها امکان دسترسی بالایی به سیستم داشته، اجازه تغییر برنامه‌های در حال اجرا را دارند و همزمان با روشن شدن سیستم، شروع به کار می‌کنند.

«تراویس اورماندی» (Tavis Ormandy)، محقق گوگل در شش ماه گذشته نقص‌هایی اساسی را در نرم‌افزارهای آنتی‌ویروس Avast ،AVG ،Comodo ،Malwarebytes و Trend Micro پیدا کرده است. این نقص‌ها شامل ناامنی ابزارهای بهینه‌سازی مرورگر، برملا شدن پسوردهای ذخیره‌شده در یک برنامه‌ی مدیریت پسورد و آسیب‌پذیری حداقل سه مرورگر وب «ایمن» در برابر مهاجمان خارجی می‌شد.

مهم‌ترین نقص، که بیتون «تامر بیتون» (Tomer Bitton) از محققان موسسه‌ی انسیلو به آن اشاره‌ای نکرده بود، این است که بسیاری از آنتی‌ویروس‌ها برای به‌روز شدن جهت شناسایی بدافزارهای جدید، از اتصال امن وب استفاده نمی‌کنند یا بروزرسانی نرم‌افزارهای خود را با امضای دیجیتال تایید نمی‌کنند.

ژانویه‌ی گذشته در کنفرانس امنیتی ShmooCon، «پاتریک واردل» (Patrick Wardle)، محقق موسسه‌ی امنیتی Synack، نشان داد چگونه یک حمله‌ی «مرد میانی» (man-in-the-middle یا MITM) که در بروزرسانی آنتی‌ویروس کسپرسکی تداخل ایجاد کرده، می‌تواند با به‌کمک بدافزار، یک کامپیوتر مک را آلوده کند.

در ماه اکتبر گذشته، آزمایشگاه آلمانی تست آنتی‌ویروسAV-TEST، امنیت داخلی محصولاتِ ۲۱ برند آنتی‌ویروس را ارزیابی کرد. براساس این ارزیابی‌ها مشخص شد تنها سه برند ESET ،McAfee و Norton‌ اقداماتی دفاعی انجام داده بودند که تاحدودی دغدغه‌های محققان را رفع می‌کرد.

بیتون و همکارانش ابزاری را با نام AVulnerabilityChecker برای کاربران ویندوز طراحی کرده‌اند تا از طریق آن آسیب‌پذیری نرم‌افزارهای آنتی‌ویروس خود را بررسی کنند. دستورالعمل استفاده از این ابزار در وبلاگ enSilo قرار داده شده است.

‌‌‌‌    ‌      ‌

منبع: Tom’s Guide