數位時代,防毒軟體是我們電腦安全的最後一道防線。然而,當這道防線本身頻頻出現「誤傷」事件時,用戶的信任將面臨嚴峻考驗。近日,微軟的內建防毒工具 Microsoft Defender 再次成為焦點,其將最新版的 Tor Browser 錯誤地標示為木馬程式,引發了資安界和用戶社群的廣泛關注。儘管誤判在兩天後得到修正,但這次事件不僅讓 Tor Browser 無辜躺槍,也再次暴露了 Defender 在誤判方面的頑疾,並引發了對通用型啟發式偵測技術利弊的討論。
Tor Browser 的「無妄之災」:被誤認為惡意程式
Tor Browser 是一款基於 Mozilla Firefox 開發的隱私瀏覽器,它利用全球志願者運營的「洋蔥路由」網路,為用戶提供高度匿名化的上網體驗,是許多記者、異議人士以及普通用戶在追求網路隱私時的重要工具。
近期,由於廣泛使用的 VP8 影片編碼函式庫 libvpx 被發現存在漏洞(CVE-2023-5217),且該漏洞已遭到利用,Mozilla 和 Google 都迅速釋出了新版瀏覽器(Firefox 118.0.1/ Firefox ESR 115.3.1 和最新版 Chrome)進行修補。為了跟進這一重要的安全更新,Tor Project 也發布了相應的 Tor Browser 12.5.6 版本。
然而,令人意想不到的是,就在 9 月 30 日,許多 Windows 用戶在下載並安裝了這個包含安全修復的最新版 Tor Browser 後,Microsoft Defender 卻發出警報,聲稱 tor.exe 檔案包含木馬程式「Win32/Malgent!MTB」。Defender 不僅立即將該檔案隔離,隨後更將其直接刪除,導致用戶無法正常啟動和使用 Tor Browser。
這場突如其來的「誤判」,讓許多 Tor Browser 用戶感到困惑和憤怒。畢竟,Tor Browser 是經過嚴格審核的開源軟體,其安全性受到全球社群的廣泛監督。Defender 的這一舉動,無疑對 Tor Browser 的聲譽造成了不必要的負面影響。
微軟的回應與解決方案:亡羊補牢,但原因成謎
在事件發生後,Tor Project 小組迅速與微軟方面取得聯繫。經過兩天的等待,微軟終於在 10 月 2 日給出了回應,證實被誤判的檔案「並不符合惡意程式或垃圾程式的標準」。這也意味著 Defender 的這次警報確實是一次誤判。
為了幫助受影響的用戶恢復正常使用,微軟提供了手動更新 Defender 定義檔的方法:
- 以管理員權限打開指令提示視窗(Command Prompt)。
- 輸入
c:\Program Files\Windows Defender並按 Enter。 - 接著輸入
MpCmdRun.exe -removedefinitions -dynamicsignatures並按 Enter。 - 最後輸入
MpCmdRun.exe -SignatureUpdate並按 Enter。
執行這些指令可以強制 Defender 更新其病毒定義檔,從而消除對 Tor Browser 的錯誤識別。
然而,微軟並未公開解釋造成這次誤判的具體原因。這也引發了外界的諸多猜測。科技媒體《The Register》推測,其中一個可能性是 Tor Project 最新加入的可防止分散式阻斷服務攻擊(DDoS)的 PoW(proof-of-work)技術。PoW 要求用戶端執行一些輕量級的計算任務以驗證其連接的合法性,這種「計算」行為可能觸發了 Defender 的某些基於行為的偵測規則。
另一個更為普遍的猜測,則指向了 Defender 的「通用型啟發式偵測」(generic heuristic detection)技術出錯。啟發式偵測通過分析程式的行為模式來判斷其是否存在惡意,而不是依賴已知的病毒簽名。雖然這種方法對於發現新型或變種惡意程式非常有效,但其缺點是更容易產生誤報,尤其當合法程式的某些行為與惡意程式的行為模式存在相似之處時。
Defender 的「黑歷史」:誤判頻繁,信任受損
這次對 Tor Browser 的誤判,並非 Microsoft Defender 的「首次犯錯」。事實上,在近三年來,這款微軟自家的防毒功能已經累積了多次令人尷尬的誤判「黑歷史」。受害者不乏耳熟能詳的軟體和文件類型:
- Google Chrome 瀏覽器: 作為全球市場佔有率最高的瀏覽器,Chrome 也曾被 Defender 錯誤地標示為惡意程式。
- Microsoft Edge 瀏覽器: 更令人啼笑皆非的是,微軟自家的 Edge 瀏覽器也曾不幸「中招」,被 Defender 誤判。
- Microsoft Office 文件檔: 廣泛用於辦公和學習的 Word、Excel、PowerPoint 等文件也曾被 Defender 錯誤隔離,嚴重影響了用戶的正常工作。
- Log4j 漏洞掃描工具: 在 Log4j 嚴重漏洞爆發期間,甚至是用於掃描和檢測該漏洞的合法安全工具,也曾被 Defender 誤判為惡意軟體,這無疑給安全團隊的工作帶來了阻礙。
這些頻繁且涉及廣泛的誤判事件,無疑對 Microsoft Defender 的可靠性和用戶信任造成了持續的損害。雖然任何防毒軟體都無法百分之百避免誤報,但如此高頻率地將主流、合法軟體錯誤標識為威脅,表明微軟需要對其防毒引擎的準確性和偵測策略進行更深層次的審視和改進。
對於廣大用戶而言,這次事件再次提醒我們:任何防毒軟體都不是萬能的,即使是系統內建的 Defender 也不例外。當遇到可疑警報時,除了依賴防毒軟體的判斷,更應保持一份清醒和批判性思維。查閱官方公告、參考資安社群的討論、利用多個防毒工具進行交叉驗證,都是確保自身電腦安全、避免被誤判所困擾的有效方法。在日益複雜的網路環境中,提升自身的資安素養,比單純依賴某一款工具更為重要。