AVG naraża miliony użytkowników Chrome na ryzyko

• Kategoria: Bezpieczeństwo

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Wybierz System Operacyjny Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wybierz Program Projekcji (Opcjonalnie) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opisz Swój Problem

Dostać Odpowiedź

Wyślij Mi E -Mail Pokaż Na Stronie

Firma zabezpieczająca AVG, dobrze znana ze swoich bezpłatnych i komercyjnych produktów zabezpieczających, które oferują szeroką gamę zabezpieczeń i usług związanych z bezpieczeństwem, naraziła ostatnio miliony użytkowników Chrome na ryzyko, łamiąc zabezpieczenia Chrome w fundamentalny sposób w jednym ze swoich rozszerzeń internetowych. przeglądarka.

AVG, podobnie jak wiele innych firm zajmujących się bezpieczeństwem oferujących bezpłatne produkty, korzysta z różnych strategii monetyzacji, aby uzyskać przychody z bezpłatnych ofert.

Jedną z części równania jest skłonienie klientów do przejścia na płatne wersje AVG i przez pewien czas to był jedyny sposób, w jaki działały firmy takie jak AVG.

Darmowa wersja działa dobrze samodzielnie, ale jest używana do reklamowania płatnej wersji, która oferuje zaawansowane funkcje, takie jak antyspam lub ulepszona zapora ogniowa.

Firmy zajmujące się bezpieczeństwem zaczęły dodawać inne źródła przychodów do swoich bezpłatnych ofert, a jedna z najbardziej znanych w ostatnim czasie obejmowała tworzenie rozszerzeń przeglądarki i manipulowanie domyślną wyszukiwarką przeglądarki, stroną główną i stroną nowej karty, które są z nią powiązane. .

Klienci, którzy zainstalują oprogramowanie AVG na swoim komputerze, otrzymają w końcu monit o zabezpieczenie swoich przeglądarek. Kliknięcie ok w interfejsie instaluje się AVG Web TuneUp w kompatybilnych przeglądarkach przy minimalnej interakcji użytkownika.

Rozszerzenie ma ponad 8 milionów użytkowników według Chrome Web Store (według własnych statystyk Google prawie dziewięć milionów).

Spowoduje to zmianę strony głównej, strony nowej karty i domyślnego dostawcy wyszukiwania w przeglądarkach Chrome i Firefox, jeśli są zainstalowane w systemie.

Zainstalowane rozszerzenie żąda ośmiu uprawnień, w tym uprawnienia do `` odczytu i zmiany wszystkich danych na wszystkich stronach internetowych '', `` zarządzania pobieraniem '', `` komunikacji ze współpracującymi aplikacjami natywnymi '', `` zarządzania aplikacjami, rozszerzeniami i motywami '' oraz zmiany strony głównej, ustawienia wyszukiwania i stronę początkową do niestandardowej strony wyszukiwania AVG.

Chrome zauważa zmiany i zapyta użytkowników oferujących przywrócenie ustawień do poprzednich wartości, jeśli zmiany wprowadzone przez rozszerzenie nie były zamierzone.

Sporo problemów wynika z instalacji rozszerzenia, na przykład to, że zmienia ustawienie uruchamiania, aby „otworzyć określoną stronę”, ignorując wybór użytkownika (na przykład kontynuowanie ostatniej sesji).

Jeśli to nie wystarczy, modyfikowanie zmienionych ustawień bez wyłączania rozszerzenia jest dość trudne. Jeśli sprawdzisz ustawienia Chrome po instalacji i aktywacji programu AVG Web TuneUp, zauważysz, że nie możesz już modyfikować strony głównej, parametrów uruchamiania ani dostawców wyszukiwania.

Głównym powodem wprowadzenia tych zmian są pieniądze, a nie bezpieczeństwo użytkowników. AVG zarabia, gdy użytkownicy wyszukują i klikają reklamy w utworzonej przez siebie wyszukiwarce niestandardowej.

Jeśli dodasz do tego, że firma ogłosiła niedawno w aktualizacji polityki prywatności, że będzie gromadzić i sprzedawać - nieidentyfikowalne - dane użytkownika stronom trzecim, sam otrzymujesz przerażający produkt.

Kwestia bezpieczeństwa

Pracownik Google wniesiony raport o błędzie z 15 grudnia stwierdzający, że program AVG Web TuneUp wyłączał zabezpieczenia internetowe dla dziewięciu milionów użytkowników Chrome. W liście do AVG napisał:

Przepraszam za mój ostry ton, ale naprawdę nie jestem zachwycony instalacją tego kosza dla użytkowników Chrome. Rozszerzenie jest tak źle zepsute, że nie jestem pewien, czy powinienem zgłosić ci to jako lukę w zabezpieczeniach, czy też poprosić zespół nadużywający rozszerzenia o zbadanie, czy to PuP.

Niemniej jednak obawiam się, że twoje oprogramowanie zabezpieczające wyłącza zabezpieczenia internetowe dla 9 milionów użytkowników Chrome, najwyraźniej po to, abyś mógł przejąć ustawienia wyszukiwania i stronę nowej karty.

Możliwych jest wiele oczywistych ataków, na przykład tutaj jest trywialny uniwersalny xss w interfejsie API „nawigacja”, który umożliwia dowolnej witrynie wykonanie skryptu w kontekście dowolnej innej domeny. Na przykład attacker.com może czytać e-maile z mail.google.com, corp.avg.com lub cokolwiek innego.

Zasadniczo AVG naraża użytkowników Chrome na ryzyko poprzez swoje rozszerzenie, które podobno powinno sprawić, że przeglądanie stron internetowych będzie bezpieczniejsze dla użytkowników Chrome.

Firma AVG odpowiedziała poprawką kilka dni później, ale została ona odrzucona, ponieważ nie rozwiązała całkowicie problemu. Firma próbowała ograniczyć ekspozycję, akceptując żądania tylko wtedy, gdy pochodzenie jest zgodne z avg.com.

Problem z tą poprawką polegał na tym, że program AVG sprawdzał tylko wtedy, gdy źródło avg.com było uwzględnione w źródle, które osoby atakujące mogą wykorzystać przy użyciu poddomen zawierających ciąg, np. avg.com.www.example.com.

W odpowiedzi Google było jasne, że stawka jest większa.

Proponowany kod nie wymaga bezpiecznego źródła, co oznacza, że ​​zezwala na protokoły http: // lub https: // podczas sprawdzania nazwy hosta. Z tego powodu człowiek sieciowy w środku może przekierować użytkownika do http://attack.avg.com i dostarczyć javascript, który otwiera zakładkę do bezpiecznego źródła https, a następnie wstrzyknąć do niego kod. Oznacza to, że człowiek w środku może zaatakować bezpieczne witryny https, takie jak GMail, Banking i tak dalej.

Dla jasności: oznacza to, że użytkownicy AVG mają wyłączony SSL.

Druga próba aktualizacji AVG z 21 grudnia została zaakceptowana przez Google, ale firma Google tymczasowo wyłączyła instalację wbudowaną, ponieważ zbadano możliwe naruszenia zasad.

Słowa końcowe

AVG naraził miliony użytkowników Chrome na ryzyko i za pierwszym razem nie dostarczył poprawnej poprawki, która nie rozwiązała problemu. Jest to dość problematyczne dla firmy, która próbuje chronić użytkowników przed zagrożeniami w Internecie i lokalnie.

Byłoby interesujące zobaczyć, jak korzystne lub nie są wszystkie te rozszerzenia oprogramowania zabezpieczającego, które są instalowane wraz z oprogramowaniem antywirusowym. Nie zdziwiłbym się, gdyby wróciły wyniki, że wyrządzają więcej szkody niż zapewniają użytkowanie użytkownikom.

Teraz ty : Z jakiego rozwiązania antywirusowego korzystasz?