Compania de securitate AVG, cunoscută pentru produsele sale gratuite și comerciale de securitate, care oferă o gamă largă de garanții și servicii legate de securitate, a pus milioane de utilizatori Chrome în pericol recent, încălcând securitatea Chrome într-un mod fundamental într-una dintre extensiile sale pentru web browser-ul.
AVG, la fel ca multe alte companii de securitate care oferă produse gratuite, utilizează diferite strategii de monetizare pentru a obține venituri din ofertele sale gratuite.
O parte din ecuație este ca clienții să treacă la versiunile cu AVG plătite și pentru un timp, acesta a fost singurul mod în care lucrurile au funcționat pentru companii precum AVG.
Versiunea gratuită funcționează de la sine, dar este utilizată pentru a face publicitate versiunii plătite care oferă funcții avansate, precum anti-spam sau un firewall îmbunătățit.
Companiile de securitate au început să adauge alte fluxuri de venituri la ofertele lor gratuite, iar una dintre cele mai proeminente din ultimul timp a implicat crearea de extensii de browser și manipularea motorului de căutare implicit al browserului, pagina principală și pagina de filă nouă care sunt alături de acesta. .
Clienții care instalează software-ul AVG pe PC-ul lor primesc o solicitare la final pentru a-și proteja browserele. Un clic pe ok în interfață instalează AVG Web TuneUp în browserele compatibile cu o interacțiune minimă cu utilizatorii.
Extensia are peste 8 milioane de utilizatori conform Chrome Web Store (conform statisticilor proprii Google aproape nouă milioane).
În acest fel, se schimbă pagina de pornire, pagina de filă nouă și furnizorul de căutare implicit în browserul Chrome și Firefox, dacă este instalat în sistem.
Extensia care este instalată solicită opt permisiuni, inclusiv permisiunea de „citire și schimbare a tuturor datelor de pe toate site-urile web”, „descărcări de gestiune”, „comunicare cu aplicații native cooperante”, „gestionarea aplicațiilor, extensii și teme” și schimbarea paginii de pornire, setări de căutare și pagina de pornire către o pagină de căutare AVG personalizată.
Chrome observă modificările și îi va solicita utilizatorilor care se oferă să restabilească setările la valorile lor anterioare, dacă modificările aduse de extensie nu au fost destinate.
Câteva probleme apar din instalarea extensiei, de exemplu că schimbă setarea de pornire pentru a „deschide o pagină specifică” ignorând alegerea utilizatorilor (de exemplu, pentru a continua ultima sesiune).
Dacă acest lucru nu este suficient de rău, este destul de dificil să modificați setările schimbate fără a dezactiva extensia. Dacă verificați setările Chrome după instalarea și activarea AVG Web TuneUp, veți observa că nu mai puteți modifica pagina de pornire, începe parametrii sau furnizorii de căutare.
Motivul principal pentru care se fac aceste modificări este banii, nu securitatea utilizatorilor. AVG câștigă atunci când utilizatorii fac căutări și fac clic pe anunțuri pe motorul de căutare personalizat pe care l-au creat.
Dacă adăugați la aceasta faptul că compania a anunțat recent într-o actualizare a politicii de confidențialitate că va colecta și vinde - neidentificabile - datele utilizatorului către terți, veți ajunge la un produs înspăimântător de unul singur.
Problema de securitate
Un angajat Google a depus un raport privind erorile pe 15 decembrie, afirmând că AVG Web TuneUp a dezactivat securitatea web pentru nouă milioane de utilizatori Chrome. Într-o scrisoare către AVG, el a scris:
Scuze pentru tonul meu dur, dar chiar nu sunt încântat de faptul că această coș de gunoi este instalat pentru utilizatorii Chrome. Extensia este atât de grav spartă, încât nu sunt sigur dacă ar trebui să vă raportez ca o vulnerabilitate sau să cer echipei de abuzuri de extensie să investigheze dacă este vorba despre un PuP.
Cu toate acestea, îngrijorarea mea este că software-ul dvs. de securitate dezactivează securitatea web pentru 9 milioane de utilizatori Chrome, aparent, astfel încât să puteți deturna setările de căutare și noua pagină.
Există mai multe atacuri evidente, de exemplu, aici este un banal xss universal în API-ul „navigare” care poate permite oricărui site web să execute script în contextul oricărui alt domeniu. De exemplu, atacatorul.com poate citi e-mail de pe mail.google.com sau corp.avg.com sau orice altceva.
În principal, AVG pune riscurile utilizatorilor Chrome prin extensia sa, care ar trebui să facă navigarea web mai sigură pentru utilizatorii Chrome.
AVG a răspuns cu o soluție câteva zile mai târziu, dar a fost respins, deoarece nu a rezolvat problema complet. Compania a încercat să limiteze expunerea prin acceptarea cererilor numai dacă originea se potrivește cu avg.com.
Problema cu remedierea a fost că AVG a verificat doar dacă avg.com a fost inclus în originea pe care atacatorii ar putea să-l exploateze folosind subdomenii care includeau șirul, de exemplu avg.com.www.example.com.
Răspunsul Google a clarificat că există mai multe jocuri.
Codul propus nu necesită o origine sigură, ceea ce înseamnă că permite // sau // protocoale la verificarea numelui de gazdă. Din această cauză, un om de rețea din mijloc poate redirecționa un utilizator către //attack.avg.com și poate furniza javascript care deschide o filă la o origine https sigură și apoi poate injecta cod. Aceasta înseamnă că un om din mijloc poate ataca site-uri https sigure precum GMail, Banking și așa mai departe.
Pentru a fi absolut clar: asta înseamnă că utilizatorii AVG au SSL dezactivat.
Cea de-a doua tentativă de actualizare a AVG din 21 decembrie a fost acceptată de Google, dar Google a dezactivat deocamdată instalările inline pentru că au fost investigate posibile încălcări ale politicii.
Cuvinte de închidere
AVG a pus în pericol milioane de utilizatori Chrome și nu a reușit să furnizeze o corecție adecvată pentru prima dată care nu a rezolvat problema. Acest lucru este destul de problematic pentru o companie care încearcă să protejeze utilizatorii împotriva amenințărilor de pe internet și local.
Ar fi interesant să vedem cât de benefice sunt sau nu, toate acele extensii de software de securitate care se instalează alături de software antivirus. Nu m-ar surprinde dacă s-ar întoarce rezultatele că fac mai mult rău decât le oferă utilizatorilor.
Acum Tu : Ce soluție antivirus utilizați?
