AVG dovodi u rizik milijune korisnika Chromea
- Kategorija: Sigurnosti
Sigurnosna tvrtka AVG, poznata po svojim besplatnim i komercijalnim sigurnosnim proizvodima koji nude širok spektar sigurnosnih mjera i usluga, nedavno je izložila milijune Chromovih korisnika rizikom tako što je razriješila sigurnost Chrome-a na fundamentalni način u jednom od svojih proširenja za web preglednik.
AVG, kao i mnoge druge zaštitne kompanije koje nude besplatne proizvode, koristi različite strategije unovčavanja kako bi ostvario prihod od svojih besplatnih ponuda.
Jedan dio jednadžbe je da kupci nadograde na plaćene verzije AVG-a i neko vrijeme, to je bio jedini način na koji su stvari funkcionirale za tvrtke poput AVG-a.
Besplatna verzija funkcionira sama po sebi, no koristi se za oglašavanje plaćene verzije koja nudi napredne značajke poput anti-neželjene pošte ili poboljšanog vatrozida.
Sigurnosne tvrtke počele su dodavati druge tokove prihoda u svoju besplatnu ponudu, a jedna od najistaknutijih u posljednje vrijeme uključivala se u kreiranje proširenja preglednika i manipuliranje zadane tražilice, početne stranice i nove stranice s karticama koje idu uz njega. ,
Kupci koji na svoj PC instaliraju AVG softver dobivaju odziv na kraju da zaštite svoje preglednike. Klik na ok u instalaciji sučelja AVG Web TuneUp u kompatibilnim preglednicima s minimalnom interakcijom korisnika.
Proširenje ima više od 8 milijuna korisnika prema Chrome web trgovini (prema Googleovim vlastitim statistikama gotovo devet milijuna).
Time se mijenja početna stranica, nova stranica s karticama i zadani dobavljač pretraživanja u web pregledniku Chrome i Firefox ako su instalirani u sustav.
Proširenje koje se instalira zahtijeva osam dozvola, uključujući dopuštenje za 'čitanje i promjenu svih podataka na svim web mjestima', 'preuzimanja mangea', 'komunikaciju s matičnim aplikacijama', 'upravljanje aplikacijama, proširenjima i temama' i promjenu početne stranice, postavke pretraživanja i početnu stranicu do prilagođene stranice za pretraživanje AVG-a.
Chrome primjećuje promjene i zatražit će korisnike koji nude vraćanje postavki na njihove prethodne vrijednosti ako promjene koje je napravilo proširenje nisu bile namijenjene.
Prilikom instaliranja proširenja nastaje nekoliko problema, na primjer, to mijenja postavku pokretanja u „otvori određenu stranicu“ zanemarujući izbor korisnika (na primjer, nastavak posljednje sesije).
Ako to nije dovoljno loše, prilično je teško izmijeniti promijenjene postavke bez onemogućavanja proširenja. Ako provjerite postavke Chromea nakon instalacije i aktiviranja AVG Web TuneUp-a, primijetit ćete da ne možete više mijenjati početnu stranicu, pokretati parametre ili tražiti davatelje usluga.
Glavni razlog zašto se provode ove promjene je novac, a ne sigurnost korisnika. AVG zarađuje kada korisnici pretražuju i kliknu oglase na prilagođenoj tražilici koju su stvorili.
Ako dodate na to je tvrtka nedavno u ažuriranju politike o privatnosti najavila da će prikupljati i prodavati - ne prepoznatljive - korisničke podatke trećim stranama, na kraju ćete i sami dobiti zastrašujući proizvod.
Pitanje sigurnosti
Googleov zaposlenik uknjižen izvješće o pogrešci od 15. prosinca u kojem se navodi da AVG Web TuneUp onemogućuje web-sigurnost za devet milijuna Chromeovih korisnika. U pismu AVG-u napisao je:
Ispričavam se zbog svog oštrog tona, ali stvarno nisam oduševljen što se ovo smeće instalira za korisnike Chromea. Proširenje je toliko loše slomljeno da nisam siguran bih li ga trebao prijaviti kao ranjivost ili tražim od tima za zloporabu proširenja da istraži ima li PuP.
Bez obzira na to, zabrinut sam što vaš sigurnosni softver onemogućuje internetsku sigurnost za 9 milijuna Chromovih korisnika, očito kako biste mogli oteti postavke pretraživanja i novu karticu.
Moguće je više očiglednih napada, na primjer, ovdje je trivijalni univerzalni xss u API-ju za navigaciju koji može omogućiti bilo kojoj web stranici izvršavanje skripte u kontekstu bilo koje druge domene. Na primjer, napadač.com može čitati e-poštu s mail.google.com ili corp.avg.com ili bilo čega drugog.
AVG dovodi u opasnost korisnike Chromea zbog njegovog proširenja, što bi web preglednik navodno trebalo učiniti sigurnijim.
AVG je odgovorio na ispravak nekoliko dana kasnije, ali je odbijen jer nije u potpunosti riješio problem. Tvrtka je pokušala ograničiti izloženost samo prihvaćanjem zahtjeva ako podrijetlo odgovara avg.com.
Problem s popravkom bio je u tome što je AVG potvrdio samo ako je avg.com uključen u izvorište, što su napadači mogli iskoristiti koristeći poddomene koje uključuju niz, npr. avg.com.www.example.com.
Googleov odgovor je jasno pokazao da je u pitanju više.
Predloženi kôd ne zahtijeva sigurno podrijetlo, što znači da dopušta http: // ili https: // protokole prilikom provjere imena računala. Zbog toga mrežni čovjek u sredini može preusmjeriti korisnika na http://attack.avg.com i opskrbiti ga JavaScriptom koji otvara karticu do sigurnog https podrijetla, a zatim umetnuti kod u nju. To znači da muškarac u sredini može napadati sigurne https stranice poput GMail, Bankarstvo i tako dalje.
Da budem potpuno jasan: to znači da su AVG korisnici SSL isključeni.
Drugi pokušaj ažuriranja AVG-a 21. prosinca prihvatio je Google, ali Google je za sada onemogućio ugrađene instalacije jer su istražena moguća kršenja pravila.
Završne riječi
AVG je ugrozio milijune Chromeovih korisnika i nije uspio isporučiti odgovarajuću zakrpu prvi put što nije riješilo problem. To je prilično problematično za tvrtku koja pokušava zaštititi korisnike od prijetnji na Internetu i lokalno.
Bilo bi zanimljivo vidjeti koliko su koristna, ili ne, sva ona proširenja sigurnosnog softvera koja se instaliraju zajedno s antivirusnim softverom. Ne bih se iznenadio kad bi se vratili rezultati koji čine više štete nego što korisnicima pružaju koristi.
Sad Ti : Koje antivirusno rješenje koristite?