AVG ogroža milijone Chromovih uporabnikov
- Kategorija: Varnost
Varnostno podjetje AVG, ki je dobro znano po svojih brezplačnih in komercialnih varnostnih izdelkih, ki ponujajo široko paleto zaščitnih ukrepov in storitev, je pred kratkim ogrozilo milijone Chromovih uporabnikov, saj je v eni od svojih razširitev za splet bistveno zlomilo varnost Chroma. brskalnik.
AVG tako kot mnoga druga varnostna podjetja, ki ponujajo brezplačne izdelke, uporablja različne strategije zaslužka, da bi zaslužila s svojimi brezplačnimi ponudbami.
En del enačbe je, da stranke nadgradijo na plačljive različice AVG in nekaj časa je to edino delovalo pri podjetjih, kot je AVG.
Brezplačna različica deluje sama po sebi, vendar se uporablja za oglaševanje plačljive različice, ki poleg tega ponuja napredne funkcije, kot sta preprečevanje neželene pošte ali izboljšan požarni zid.
Varnostne družbe so v svoje brezplačne ponudbe začele dodajati druge tokove prihodkov, ena najvidnejših v zadnjem času pa je vključevala ustvarjanje razširitev brskalnika in manipulacijo privzetega iskalnika, domače strani in nove strani z zavihki, ki so skupaj z njim .
Kupci, ki namestijo programsko opremo AVG na svoj osebni računalnik, prejmejo poziv, da zaščitijo svoje brskalnike. S klikom na ok v namestitvenem vmesniku AVG spletna nastavitev v združljivih brskalnikih z minimalno interakcijo uporabnika.
Razširitev ima po spletni spletni trgovini Chrome več kot 8 milijonov uporabnikov (po Googlovih statistikah skoraj devet milijonov).
To spremeni domačo stran, novo stran z zavihki in privzetega ponudnika iskanja v spletnem brskalniku Chrome in Firefox, če je nameščen v sistemu.
Razširitev, ki jo namestite, zahteva osem dovoljenj, vključno z dovoljenjem za „branje in spreminjanje vseh podatkov na vseh spletnih mestih“, „prenose mange“, „komunikacijo s sodelujočimi domačimi aplikacijami“, „upravljanje aplikacij, razširitev in tem“ ter spreminjanje domače strani, iskalne nastavitve in začetno stran na stran za iskanje AVG po meri.
Chrome opazi spremembe in uporabnike, ki ponujajo obnovitev nastavitev na svoje prejšnje vrednosti, pozove, če spremembe, ki jih je izvedla razširitev, niso bile predvidene.
Pri namestitvi razširitve se pojavi kar nekaj težav, na primer, če spremeni nastavitev zagona v „odpreti določeno stran“, ne upošteva izbire uporabnikov (na primer za nadaljevanje zadnje seje).
Če to ni dovolj slabo, je precej težko spremeniti spremenjene nastavitve brez onemogočanja razširitve. Če preverite nastavitve Chroma po namestitvi in aktivaciji AVG Web TuneUp, boste opazili, da ne morete več spreminjati domače strani, zagnati parametrov ali iskati ponudnikov.
Glavni razlog, zakaj se te spremembe izvajajo, je denar, ne pa varnost uporabnikov. AVG zasluži, ko uporabniki iščejo in kliknejo oglase na iskalniku po meri, ki so ga ustvarili.
Če dodate Ker je podjetje pred kratkim v posodobitvi politike o zasebnosti napovedalo, da bo zbiralo in prodajalo - neopredeljive - uporabniške podatke tretjim osebam, boste na koncu dobili sam strašljiv izdelek.
Varnostno vprašanje
Googlov uslužbenec vložila poročilo o napakah 15. decembra, ki navaja, da je AVG Web TuneUp onemogočil spletno varnost za devet milijonov uporabnikov Chroma. V pismu AVG je napisal:
Oprostite za moj oster ton, vendar res nisem navdušen nad namestitvijo tega smetnjaka za uporabnike Chroma. Razširitev je tako slabo pokvarjena, da nisem prepričan, ali bi jo moral prijaviti kot ranljivost, ali pa prosim ekipo za zlorabo razširitev, naj razišče, ali gre za PuP.
Kljub temu me skrbi, da vaša varnostna programska oprema onemogoča spletno varnost za 9 milijonov uporabnikov Chroma, očitno zato, da lahko ugrabite nastavitve iskanja in novo stran z zavihki.
Na voljo je več očitnih napadov, na primer tukaj je trivialni univerzalni xss v API-ju za krmarjenje, ki lahko dovoli, da katero koli spletno mesto izvede skript v okviru katere koli druge domene. Na primer, napadalec.com lahko bere e-pošto s mail.google.com ali corp.avg.com ali česar koli drugega.
V glavnem AVG ogroža uporabnike Chroma zaradi svoje razširitve, ki naj bi brskanje po spletu varnejše za uporabnike Chroma.
AVG je odgovoril s popravkom nekaj dni pozneje, vendar je bil zavrnjen, ker ni v celoti rešil vprašanja. Podjetje je poskušalo omejiti izpostavljenost le s sprejemanjem zahtevkov, če izvor ustreza avg.com.
Težava popravka je bila, da je AVG preveril samo, če je avg.com vključen v izvor, ki bi ga napadalci lahko izkoristili z uporabo poddomena, ki vključujejo niz, npr. avg.com.www.example.com.
Googlov odgovor je jasno povedal, da je na kocki več.
Vaša predlagana koda ne potrebuje varnega izvora, kar pomeni, da dovoljuje protokole http: // ali https: // pri preverjanju imena gostitelja. Zaradi tega lahko omrežni moški na sredini uporabnika preusmeri na http://attack.avg.com in mu priskrbi javascript, ki odpre zavihek do varnega izvora https, in mu nato vpiše kodo. To pomeni, da lahko človek v sredini napada varna spletna mesta https, kot so GMail, Bančništvo in podobno.
Popolnoma jasno: to pomeni, da imajo uporabniki AVG onemogočen SSL.
Drugi poskus posodobitve programa AVG 21. decembra je Google sprejel, vendar je Google zaenkrat onemogočil vgradne namestitve, saj so preučevale morebitne kršitve pravil.
Zaključne besede
AVG je ogrožal milijone Chromovih uporabnikov in prvič ni uspel dostaviti ustreznega popravka, ki težave ni odpravil. To je precej problematično za podjetje, ki poskuša uporabnike zaščititi pred grožnjami na internetu in lokalno.
Zanimivo bi bilo videti, ali so koristne ali ne vse tiste razširitve varnostne programske opreme, ki se namestijo poleg protivirusne programske opreme. Ne bi bil presenečen, če bi se vrnili rezultati, da naredijo več škode kot uporabnikom.
Zdaj pa ti : Katero protivirusno raztopino uporabljate?