最近看到國外的相關討論,就把他們整理一下寫成一篇文章,
Web版會有連結連到各文章 http://www.lulalala.com/wordpress/archives/3296
在 2016 年底的時候,Chrome 的資安總監 Justin Schuh 在推特上跟人筆戰。他提到「
防毒軟體是阻礙我研發安全的瀏覽器最大的障礙」,然後他隨手列出許多防毒軟體造成的
漏洞。這之後在 Hacker News 上引起很大的討論。
在 2017 年初,前 Mozilla 工程師 Robert O'callahan 也跳出來說他也碰過許多防毒
軟體的問題,所以他推薦已經升級到 Windows 10 的大家,不要再買防毒軟體了,移除他
們,使用 Windows 內建的就好。Robert 其實在 2012 年就曾經在 Mozilla 的公開討論
區提到防毒軟體的問題,不過那時 Mozilla 的公關要求他停止了,因為怕這會影響防毒
軟體公司跟他們的關係。
節錄兩位工程師提到的問題:
替換掉系統DLL,但是卻換成一個比較不安全的版本,如關閉 ASLR。
把不安全的格式處理碼注入系統核心
防毒軟體自己通常要求要在系統最高層級執行,反而成為一個容易攻擊的目標,以取
得最高存取權。
防毒軟體公司的員工能力不足,常寫出有漏洞的程式。比如先前趨勢科技的密碼管理
工具才被爆出能做出遠端執行程式的漏洞。
常常發生把瀏覽器搞掛的事情。
讓瀏覽器無法更新。
在攔截 https/hsts 封包時反而把其搞掛
有趣的是,兩人都推薦 Windows 內建的防毒軟體,因為依照瀏覽器的紀錄,只有這款沒
出現什麼問題。感覺他們是希望有款比較沒有侵略性的防毒軟體。依照 Justin 自己在另
一篇文章的說法,防毒軟體已經是資安的最後一道關卡,軟體產業應該注重於更早期避免
問題的產生,比如說在產品設計階段就以資安為考量,而不是最後讓消費者感染後才來偵
測以及治療。