В конце апреля 2020 года американская исследовательская организация RACK911 Labs опубликовала результаты своего исследования, посвящённого безопасности антивирусных программ. Оно стартовало несколько лет назад и охватило три операционных системы и несколько десятков сервисов. Данная проверка на уязвимости выявила наличие проблем у большинства антивирусов, независимо от ОС, на которой они используются.
RACK911 Labs сообщает о том, что ими были проанализированы механизмы работы антивирусных программ на таких популярных операционных системах, как Windows, Linux и macOS. По мнению исследователей, во всех случаях в основе лежит один и тот же принцип, которым пользуются сервисы для предотвращения угрозы заражения устройства. Речь о помещении подозрительных файлов или процессов, обнаруженных антивирусом во время сканирования системы, на карантин или их удалении.
Для осуществления подобных действий антивирусные программы получают расширенные права в операционной системе, что может привести к негативным последствиям. Так, к примеру, они могут удалить важные компоненты, к которым у обычного пользователя, не обладающего расширенными правами администратора, нет доступа. Таким пользователем, например, может быть вредоносная программа. Однако если она каким-то образом сможет действовать от лица антивируса, у неё появится доступ как к важным системным файлам, так и к файлам самого антивируса. Таким образом, злоумышленники могут отключить защиту и нанести серьёзный вред операционной системе.
Исследователи отмечают, что в разных системах используются разные механизмы, позволяющие пользователям без расширенных прав администратора вносить изменения на устройстве. Так, в случае с Windows речь идёт о так называемых directory junctions, а в Linux и macOS используются symlinks. Все они способны объединять две папки при перемещении (замещать одну другой), в частности, при совпадении их названий. Данная проверка на уязвимости антивирусов включала использование именно этих инструментов.
По словам исследователей, большая часть проверенных ими антивирусных программ не устояли в ходе эксперимента. Причём, в список сервисов, проверка на уязвимости которых выявила у них наличие проблем, входят и популярные провайдеры. В числе упомянутых RACK911 Labs антивирусов:
- Avast Free Anti-Virus
- Kaspersky Internet Security
- Kaspersky Endpoint Security
- Malwarebytes for Windows
- Eset Cyber Security
- Eset File Server Security
Авторы исследования отмечают, что они уведомили всех провайдеров, чьи продукты были протестированы, о наличии потенциальной угрозы в их программах ещё в 2018 году. Представители RACK911 Labs посчитали необходимым опубликовать результаты своей работы спустя несколько месяцев, чтобы дать сервисам возможность устранить проблемы. По этой же причине исследователи не упомянули названия менее популярных антивирусных программ, проверка на уязвимости которых также показала наличие угроз, однако их представители не сообщили об их устранении, а потому они по-прежнему не защищены от злоумышленников.
Известно также, что многие антивирусы работали над исправлением выявленных в ходе исследования уязвимостей. Напомним, что ранее были обнаружены проблемы в менеджерах паролей. Подробнее об Avast, Malware, Eset и антивирусе Касперского читайте в наших обзорах. Вы также можете скачать антивирусные программы и узнать о том, как обезопасить своё устройство без антивирусов на нашем сайте.