Digital Security обнаружили критичные уязвимости в антивирусных продуктах

Александр Панасенко 27 Ноября 2014 - 11:15

Общее

Лаборатория Касперского

McAfee

Avast Software

Digital Security

Kaspersky Internet Security для всех устройств

Уязвимости программ

...

Исследователи компании Digital Security, обнаружили ряд уязвимостей в популярных продуктах для антивирусной защиты с технологией аппаратной виртуализации. Было проанализировано три таких решения: McAfee DeepDefender, Avast DeepScreen, Kaspersky Internet Security 15.

Эти антивирусные продукты были выбраны потому, что на момент проведения исследования только в них использовалась данная технология. Основным преимуществом использования аппаратной виртуализации считается возможность работы на более низком уровне, чем само ядро операционной системы. Это позволяет антивирусному ПО прозрачно контролировать все, что происходит в ОС. Основной целью проведенного недавно исследования было выяснить, насколько применение технологии аппаратной виртуализации способствует повышению уровня безопасности.

Все три продукта используют технологию hardware assisted (VT-x, AMD-V) аппаратной виртуализации. В ходе анализа этих решений исследователи сфокусировались на возможностях реализации различных сценариев атак, эксплуатации архитектурных уязвимостей, их причинах и следствиях. Экспертами Digital Security в перечисленных продуктах были найдены различные проблемы, от «побега» из sandbox до возможности полного отключения антивирусного продукта.

В частности, используя некоторые уязвимости и цепочки уязвимостей, возможно реализовать атаки на отказ в обслуживании, обход механизмов самозащиты (в ситуации, когда антивирусное обеспечение не детектирует вредоносную активность, хотя она производится). Кроме того, исследователи определили возможность злонамеренного использования ресурсов антивирусной программы, показав, как вредоносный код может существовать в sandbox продукта и при этом производить различную активность, в том числе: майнить биткоины, производить DoS-атаки на удаленные узлы. Также существующие уязвимости позволяют осуществлять «побег» из sandbox, а именно: через различные «дыры» и недочеты в архитектуре malware может выйти из ограниченного окружения и «вырваться» в основную ОС. И, наконец, экспертам Digital Security через использование проблем в защите трех указанных продуктов удалось осуществить полное отключение антивирусного ПО в отдельных случаях.

Полученные результаты исследования наглядно демонстрируют, что технологию аппаратной виртуализации часто используют некорректно и не по назначению, и это приводит к печальным последствиям. "Наша исследовательская команда старается быть всегда на острие атаки, а потому технологии аппаратной виртуализации, конечно, вызывают у нас большой интерес. Мы провели серьезную работу, показав, что неправильное, некорректное использование виртуализации может привести к снижению уровня безопасности," – прокомментировал результаты исследования директор исследовательского центра Digital Security Дмитрий Евдокимов.

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Мая 2026 - 08:32

Шпионские программы Программы слежения Соответствие законодательству РФ Домашние пользователи Государство Соответствие требованиям регуляторов

МАКС на прослушке? Реверсер заявил о тайной записи звука во время звонков

Пользователь Хабра под ником zarazaexe опубликовал масштабный разбор APK российского мессенджера МАКС и заявил, что обнаружил в приложении функции скрытой записи звука во время звонков, сбора списка установленных приложений, отслеживания VPN, анализа адресной книги, работы с Mobile ID по открытому HTTP и серверного управления рядом важных параметров.

По словам автора реверс-инжиниринга, часть этих механизмов может использоваться без явного уведомления пользователя.

Контекст тут важный: МАКС с 1 сентября 2025 года стал обязательным для предустановки на продаваемые в России смартфоны и планшеты. В списке обязательного ПО он заменил «VK Мессенджер».

Как отметил zarazaexe, приложение собирает и отправляет на серверы VK-аналитики список установленных пользовательских приложений: packageName и время установки. Если список изменился, улетает полный обновлённый снапшот. Поставили VPN, банк, криптокошелёк или игру — приложение это заметит.

Отдельный блок — VPN. Автор пишет, что МАКС умеет определять активное VPN-соединение и по серверному флагу может ограничивать доступ к чатам, звонкам и мини-приложениям. В некоторых сценариях пользователь видит плашку «Отключите VPN, чтобы пользоваться МАКС».

Ещё веселее с адресной книгой. По словам zarazaexe, приложение следит за изменениями контактов через ContentObserver, отправляет размер телефонной книги и собирает хеши номеров, включая людей, которые вообще не зарегистрированы в МАКС. То есть даже если ваш знакомый МАКС не ставил, его номер всё равно может попасть в эту мясорубку в виде хеша.

Автор также описывает механизм принудительного обновления: серверный флаг может отправить пользователя на ForceUpdateScreen, заблокировав сообщения и звонки до установки новой версии с CDN МАКС. Формально это выглядит как защита от устаревших версий, неформально — как рубильник.

В разборе упоминаются и более экзотические вещи: управление NFC из мини-приложений, серверно включаемые фейковые чаты, возможность удалить сообщение из локальной базы пушем, проверка доступности сторонних сервисов вроде Telegram, серверные флаги для поведения TLS, Mobile ID через открытый HTTP, скрытый SDK trace_flow, сбор IP, отладочные команды, аудиодампы звонков и пр.

Самые острые заявления касаются аудио и идентификации устройства. По версии автора, в старых версиях APK присутствовал ML-стек для обработки аудио, включая ASR, KWS и распознавание динамика, а также инфраструктура загрузки моделей с сервера. Для снятия цифрового отпечатка якобы используется Widevine DRM ID — идентификатор из защищённой зоны процессора, который сложно сбросить обычными методами.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!