AVG punând în pericol milioane de utilizatori Chrome
- Categorie: Securitate
Compania de securitate AVG, bine cunoscută pentru produsele sale de securitate gratuite și comerciale, care oferă o gamă largă de garanții și servicii legate de securitate, a pus milioane de utilizatori Chrome în pericol recent, încălcând securitatea Chrome într-un mod fundamental într-una dintre extensiile sale pentru web browser-ul.
AVG, la fel ca multe alte companii de securitate care oferă produse gratuite, utilizează diferite strategii de monetizare pentru a obține venituri din ofertele sale gratuite.
O parte a ecuației este ca clienții să treacă la versiunile cu AVG plătite și pentru un timp, acesta a fost singurul mod în care lucrurile au funcționat pentru companii precum AVG.
Versiunea gratuită funcționează de la sine, dar este folosită pentru a face publicitate versiunii plătite care oferă funcții avansate, precum anti-spam sau un firewall îmbunătățit.
Companiile de securitate au început să adauge alte fluxuri de venituri la ofertele lor gratuite, iar una dintre cele mai proeminente din ultima perioadă a implicat crearea de extensii de browser și manipularea motorului de căutare implicit al browserului, pagina principală și pagina de filă nouă, care merg împreună cu acesta .
Clienții care instalează software-ul AVG pe PC-ul lor primesc o solicitare la final pentru a-și proteja browserele. Un clic pe ok în interfața se instalează AVG Web TuneUp în browsere compatibile cu interacțiune minimă cu utilizatorii.
Extensia are peste 8 milioane de utilizatori conform Chrome Web Store (conform statisticilor proprii de Google aproape nouă milioane).
În acest fel, se schimbă pagina de pornire, pagina de filă nouă și furnizorul de căutare implicit în browserul Chrome și Firefox, dacă este instalat în sistem.
Extensia care este instalată solicită opt permisiuni, inclusiv permisiunea de „citire și schimbare a tuturor datelor de pe toate site-urile web”, „descărcări de gestiune”, „comunicare cu aplicații native cooperante”, „gestionarea aplicațiilor, extensii și teme” și schimbarea paginii de pornire, setări de căutare și pagina de pornire către o pagină de căutare AVG personalizată.
Chrome observă modificările și le va solicita utilizatorilor care se oferă să restabilească setările la valorile lor anterioare, dacă modificările aduse de extensie nu au fost destinate.
Câteva probleme apar din instalarea extensiei, de exemplu că schimbă setarea de pornire pentru a „deschide o pagină specifică” ignorând alegerea utilizatorilor (de exemplu, să continue ultima sesiune).
Dacă acest lucru nu este suficient de rău, este destul de dificil să modificați setările schimbate fără a dezactiva extensia. Dacă verificați setările Chrome după instalarea și activarea AVG Web TuneUp, veți observa că nu mai puteți modifica pagina principală, porniți parametrii sau furnizori de căutare.
Motivul principal pentru care se fac aceste modificări este banii, nu securitatea utilizatorilor. AVG câștigă atunci când utilizatorii fac căutări și fac clic pe anunțuri pe motorul de căutare personalizat pe care l-au creat.
Dacă adăugați În acest sens, compania a anunțat recent într-o actualizare a politicii de confidențialitate că va colecta și vinde - neidentificabile - datele utilizatorilor către terți, ajungeți cu un produs înfricoșător de unul singur.
Problema de securitate
Un angajat Google depusă un raport privind erorile din 15 decembrie care precizează că AVG Web TuneUp dezactiva securitatea web pentru nouă milioane de utilizatori Chrome. Într-o scrisoare către AVG, el a scris:
Scuze pentru tonul meu dur, dar chiar nu sunt încântat de instalarea acestei gunoi pentru utilizatorii Chrome. Extensia este atât de prost spartă, încât nu sunt sigur dacă ar trebui să vă raportez ca o vulnerabilitate sau să cer echipei de abuzuri de extensie să investigheze dacă este vorba despre un PuP.
Cu toate acestea, îngrijorarea mea este că software-ul dvs. de securitate dezactivează securitatea web pentru 9 milioane de utilizatori Chrome, aparent, astfel încât să puteți deturna setările de căutare și noua pagină.
Există mai multe atacuri evidente, de exemplu, aici este un banal xss universal în API-ul „navigați” care poate permite oricărui site web să execute script în contextul oricărui alt domeniu. De exemplu, atacatorul.com poate citi e-mail de pe mail.google.com sau corp.avg.com sau orice altceva.
În principal, AVG pune riscurile utilizatorilor Chrome prin extensia sa, care ar trebui să facă navigarea web mai sigură pentru utilizatorii Chrome.
AVG a răspuns cu o soluție câteva zile mai târziu, dar a fost respins, deoarece nu a rezolvat problema complet. Compania a încercat să limiteze expunerea prin acceptarea cererilor numai dacă originea se potrivește cu avg.com.
Problema cu remedierea a fost că AVG a verificat doar dacă avg.com a fost inclus în originea pe care atacatorii ar putea să-l exploateze folosind subdomenii care includeau șirul, de ex. avg.com.www.example.com.
Răspunsul Google a clarificat că există mai multe jocuri.
Codul propus nu necesită o origine sigură, ceea ce înseamnă că permite protocoalele http: // sau https: // atunci când verificați numele de gazdă. Din această cauză, un om de rețea din mijloc poate redirecționa un utilizator către http://attack.avg.com și poate furniza javascript care deschide o filă la o origine https sigură și apoi poate injecta cod. Aceasta înseamnă că un om din mijloc poate ataca site-uri https sigure precum GMail, Banking și așa mai departe.
Pentru a fi absolut clar: asta înseamnă că utilizatorii AVG au SSL dezactivat.
Cea de-a doua tentativă de actualizare a AVG din 21 decembrie a fost acceptată de Google, dar Google a dezactivat deocamdată instalările inline pentru că au fost investigate posibile încălcări ale politicii.
Cuvinte de închidere
AVG a pus în pericol milioane de utilizatori Chrome și nu a reușit să furnizeze o corecție adecvată pentru prima dată care nu a rezolvat problema. Acest lucru este destul de problematic pentru o companie care încearcă să protejeze utilizatorii împotriva amenințărilor de pe Internet și local.
Ar fi interesant să vedem cât de benefice sunt sau nu, toate acele extensii ale software-ului de securitate care se instalează alături de software-ul antivirus. Nu m-ar surprinde dacă s-ar întoarce rezultatele că fac mai mult rău decât le oferă utilizatorilor.
Acum tu : Ce soluție antivirus utilizați?