AVG predstavuje riziko pre milióny používateľov prehliadača Chrome

Bezpečnostná spoločnosť AVG, známa svojimi bezplatnými a komerčnými bezpečnostnými produktmi, ktoré ponúkajú širokú škálu bezpečnostných záruk a služieb, nedávno ohrozila milióny používateľov prehliadača Chrome tým, že zásadným spôsobom prerušila bezpečnosť prehliadača Chrome v jednom z jeho rozšírení pre web. browser.

AVG, rovnako ako mnoho iných bezpečnostných spoločností ponúkajúcich bezplatné produkty, používa rôzne stratégie speňažovania, aby zarobil výnos zo svojich bezplatných ponúk.

Jednou časťou tejto rovnice je získanie zákazníkov na prechod na platené verzie AVG a na chvíľu to bol jediný spôsob, ako veci fungovali pre spoločnosti ako AVG.

Bezplatná verzia funguje dobre sama osebe, ale používa sa na reklamu platenej verzie, ktorá ponúka pokročilé funkcie, ako je napríklad antispam alebo vylepšený firewall.

Bezpečnostné spoločnosti začali do svojich bezplatných ponúk pridávať ďalšie toky výnosov a jeden z najvýznamnejších v poslednom čase zahŕňal vytváranie rozšírení prehľadávača a manipuláciu s predvoleným vyhľadávacím nástrojom prehliadača, domovskou stránkou a novou kartou, ktoré s ňou súvisia.,

Zákazníci, ktorí si do svojho počítača inštalujú softvér AVG, dostanú na konci výzvu na ochranu svojich prehliadačov. Kliknutím na tlačidlo OK v rozhraní nainštalujete program AVG Web TuneUp do kompatibilných prehliadačov s minimálnou interakciou používateľa.

Rozšírenie má podľa Internetového obchodu Chrome viac ako 8 miliónov používateľov (podľa vlastných štatistík spoločnosti Google takmer deväť miliónov).

Ak tak urobíte, zmení sa domovská stránka, stránka Nová karta a predvolený poskytovateľ vyhľadávania vo webovom prehliadači Chrome a Firefox, ak je nainštalovaný v systéme.

Rozšírenie, ktoré získava nainštalované, vyžaduje osem povolení vrátane povolenia „čítať a meniť všetky údaje na všetkých webových stránkach“, „sťahovať súbory“, „komunikovať so spolupracujúcimi natívnymi aplikáciami“, „spravovať aplikácie, rozšírenia a témy“ a meniť domovskú stránku, nastavenia vyhľadávania a úvodná stránka na vlastnú vyhľadávaciu stránku AVG.

Prehliadač Chrome tieto zmeny zaznamená a vyzve používateľov ponúkajúcich obnovenie pôvodných nastavení, ak zmeny vykonané rozšírením neboli zamýšľané.

Pri inštalácii rozšírenia vzniká pomerne málo problémov, napríklad to, že zmení nastavenie spustenia na „otvoriť konkrétnu stránku“, pričom ignoruje výber používateľov (napríklad na pokračovanie v poslednej relácii).

Ak to nie je dosť zlé, je ťažké zmeniť zmenené nastavenia bez deaktivácie rozšírenia. Ak po inštalácii a aktivácii programu AVG Web TuneUp skontrolujete nastavenia prehliadača Chrome, zistíte, že už nemôžete upravovať domovskú stránku, spúšťať parametre ani poskytovateľov vyhľadávania.

Hlavným dôvodom, prečo sa tieto zmeny uskutočňujú, sú peniaze, nie bezpečnosť používateľov. AVG zarába, keď používatelia vyhľadávajú a kliknú na reklamy vo vlastnom vyhľadávacom nástroji, ktorý vytvorili.

Ak k tomu pridáte, že spoločnosť nedávno oznámila v aktualizácii zásad ochrany osobných údajov, že bude zhromažďovať a predávať - ​​neidentifikovateľné - užívateľské údaje tretím stranám, skončíte strašidelným produktom samo o sebe.

Bezpečnostná otázka

Zamestnanec spoločnosti Google podal 15. decembra správu o chybe, v ktorej uviedol, že program AVG Web TuneUp deaktivoval zabezpečenie webu pre deväť miliónov používateľov prehliadača Chrome. V liste spoločnosti AVG napísal:

Ospravedlňujeme sa za môj krutý tón, ale ja naozaj nie som nadšený, keď sa tento odpad inštaluje pre používateľov prehliadača Chrome. Rozšírenie je natoľko zlomené, že nie som si istý, či by som vám ho mal nahlásiť ako chybu zabezpečenia, alebo požiadať tím pre zneužitie rozšírenia, aby preskúmal, či ide o PuP.

Obávam sa však, že váš bezpečnostný softvér deaktivuje zabezpečenie webu pre 9 miliónov používateľov prehliadača Chrome. Zrejme tak môžete uniesť nastavenia vyhľadávania a stránku novej karty.

Existuje niekoľko zrejmých útokov, napríklad tu je triviálne univerzálne xss v API pre navigáciu, ktoré umožňuje akejkoľvek webovej stránke spustiť skript v kontexte ktorejkoľvek inej domény. Attacker.com môže napríklad čítať e-maily z adresy mail.google.com alebo corp.avg.com alebo čokoľvek iného.

V zásade AVG ohrozuje používateľov prehliadača Chrome prostredníctvom jeho rozšírenia, ktoré by malo používateľom prehliadača Chrome pravdepodobne prehliadať prehliadanie webu.

AVG reagovalo s opravou o niekoľko dní neskôr, ale bolo zamietnuté, pretože problém nevyriešil úplne. Spoločnosť sa snažila obmedziť expozíciu prijatím žiadostí iba vtedy, ak sa pôvod zhoduje s avg.com.

Problém s opravou bol v tom, že AVG sa overil iba vtedy, ak bol avg.com zahrnutý do pôvodu, ktorý by útočníci mohli zneužiť pomocou subdomén, ktoré obsahovali reťazec, napríklad avg.com.www.example.com.

Odpoveď spoločnosti Google objasnila, že ide o viac.

Navrhovaný kód nevyžaduje bezpečný pôvod, čo znamená, že pri kontrole názvu hostiteľa povoľuje protokoly // alebo //. Z tohto dôvodu sieťový muž v strede môže presmerovať používateľa na //attack.avg.com a dodať javascript, ktorý otvorí kartu zabezpečenému pôvodu https a potom doň vloží kód. To znamená, že človek v strede môže zaútočiť na zabezpečené stránky https, ako sú napríklad GMail, bankovníctvo atď.

Úplne jasné: to znamená, že používatelia AVG majú zakázané SSL.

Spoločnosť Google akceptovala druhý pokus o aktualizáciu AVG 21. decembra, ale spoločnosť Google zatiaľ zakázala inline inštalácie, pretože sa prešetrili možné porušenia pravidiel.

Záverečné slová

AVG ohrozilo milióny používateľov prehliadača Chrome a nepodarilo sa mu prvýkrát poskytnúť správnu opravu, ktorá problém nevyriešila. To je dosť problematické pre spoločnosť, ktorá sa snaží chrániť používateľov pred hrozbami na internete a lokálne.

Bolo by zaujímavé vidieť, aké prospešné alebo nie sú všetky tie rozšírenia bezpečnostného softvéru, ktoré sa inštalujú spolu s antivírusovým softvérom. Neprekvapilo by ma, keby sa výsledky vrátili, že poškodzujú viac, než poskytujú využitie používateľom.

Teraz ste : Ktoré antivírusové riešenie používate?