AVG kelia pavojų milijonams „Chrome“ vartotojų

Apsaugos įmonė AVG, gerai žinoma dėl savo nemokamų ir komercinių saugos produktų, siūlančių platų su saugumu susijusių apsaugos priemonių ir paslaugų asortimentą, milijonams „Chrome“ vartotojų pastaruoju metu sukėlė pavojų, iš esmės pakeisdama „Chrome“ saugumą viename iš jos plėtinių žiniatinkliui. naršyklė.

AVG, kaip ir daugelis kitų nemokamus produktus siūlančių saugos kompanijų, naudoja įvairias pajamų gavimo strategijas, kad uždirbtų pajamų iš nemokamų pasiūlymų.

Viena iš lygties dalių yra priversti klientus pereiti prie mokamų AVG versijų ir tam tikrą laiką tai buvo vienintelis būdas tokioms įmonėms kaip AVG.

Nemokama versija veikia savaime, tačiau naudojama reklamuojant mokamą versiją, siūlančią papildomas funkcijas, tokias kaip šlamštas ar patobulinta ugniasienė.

Apsaugos kompanijos į savo nemokamą pasiūlą ėmė įtraukti kitas pajamų srautus, o vienas ryškiausių pastaruoju metu buvo susijęs su naršyklės plėtinių kūrimu ir manipuliavimu naršyklės numatytuoju paieškos varikliu, pagrindiniu puslapiu ir kartu su juo esančiu nauju skirtukų puslapiu. .

Klientai, diegiantys AVG programinę įrangą savo kompiuteryje, galų gale paragina apsaugoti savo naršykles. Spustelėjus gerai sąsajoje, „AVG Web TuneUp“ įdiegiama suderinamose naršyklėse su minimalia vartotojo sąveika.

Remiantis „Chrome“ internetine parduotuve, plėtinyje yra daugiau nei 8 milijonai vartotojų (pagal paties „Google“ statistiką - beveik devyni milijonai).

Tai pakeitus pagrindinį puslapį, naujo skirtuko puslapį ir numatytąjį paieškos teikėją „Chrome“ ir „Firefox“ žiniatinklio naršyklėje, jei jie įdiegti sistemoje.

Įdiegtas plėtinys reikalauja aštuonių leidimų, įskaitant leidimą „skaityti ir keisti visus duomenis visose svetainėse“, „mange parsisiųsti“, „bendrauti su bendradarbiaujančiomis vietinėmis programomis“, „programų, plėtinių ir temų tvarkymu“ ir pakeisti pagrindinį puslapį, paieškos nustatymus ir pradinį puslapį - į pasirinktinį AVG paieškos puslapį.

„Chrome“ pastebi pakeitimus ir paragins vartotojus, kurie siūlo atkurti ankstesnes reikšmes, jei plėtinio padaryti pakeitimai nebuvo skirti.

Diegiant plėtinį kyla keletas problemų, pavyzdžiui, pakeitus paleisties parametrą į „atidaryti tam tikrą puslapį“, ignoruojant vartotojo pasirinkimą (pavyzdžiui, tęsti paskutinę sesiją).

Jei tai nėra pakankamai blogai, gana sunku pakeisti pakeistus parametrus neišjungiant plėtinio. Jei patikrinsite „Chrome“ nustatymus įdiegę ir suaktyvinę „AVG Web TuneUp“, pastebėsite, kad nebegalite modifikuoti pagrindinio puslapio, pradėti parametrų ar ieškoti teikėjų.

Pagrindinė šių pakeitimų priežastis yra pinigai, o ne vartotojo saugumas. AVG uždirba vartotojams atlikus paiešką ir spustelėjus skelbimus jų sukurtame tinkintame paieškos variklyje.

Jei dar pridursite tai, kad įmonė neseniai paskelbė privatumo politikos naujinį, kad rinks ir parduos neidentifikuojamus vartotojo duomenis trečiosioms šalims, jūs pats turėsite gąsdinantį produktą.

Saugumo klausimas

Gruodžio 15 d. „Google“ darbuotojas pateikė pranešimą apie klaidą, kuriame teigė, kad „AVG Web TuneUp“ neleidžia interneto saugumo devyniems milijonams „Chrome“ vartotojų. Laiške AVG jis parašė:

Atsiprašome už savo griežtą toną, bet tikrai nesu jaudinamas dėl to, kad ši šiukšliadėžė buvo įdiegta „Chrome“ vartotojams. Plėtinys yra taip smarkiai sulūžęs, kad nesu tikras, ar turėčiau pranešti jums apie pažeidžiamumą, ar paprašyti plėtinio piktnaudžiavimo komandos ištirti, ar tai nėra „PuP“.

Nepaisant to, aš susirūpinęs, kad jūsų saugos programinė įranga neleidžia interneto saugumo 9 milijonams „Chrome“ vartotojų, matyt, kad jūs galite užgrobti paieškos nustatymus ir naujo skirtuko puslapį.

Galimos kelios akivaizdžios atakos, pavyzdžiui, čia yra nesvarbi universalioji „xss“ „naršyti“ API, leidžianti bet kuriai svetainei vykdyti scenarijų bet kurio kito domeno kontekste. Pvz., Attacker.com gali skaityti el. Laiškus iš mail.google.com, corp.avg.com ar dar ko nors.

Iš esmės AVG kelia pavojų „Chrome“ vartotojams dėl jo plėtinio, kuris, kaip manoma, turėtų padaryti naršymą internete saugesnius „Chrome“ vartotojams.

Po kelių dienų AVG atsakė su taisymu, tačiau jis buvo atmestas, nes visiškai neišsprendė problemos. Bendrovė bandė apriboti parodymą priimdama užklausas tik tuo atveju, jei kilmė atitinka avg.com.

Problema dėl pataisos buvo ta, kad AVG tik patikrino, ar avg.com yra įtrauktas į kilmę, kurią užpuolikai gali išnaudoti, naudodami padomenius, kuriuose yra eilutė, pvz., Avg.com.www.example.com.

„Google“ atsakymas leido suprasti, kad rizikuojama daugiau.

Siūlomas kodas nereikalauja saugios kilmės, tai reiškia, kad jis leidžia // arba // protokolus tikrinant pagrindinį kompiuterio vardą. Dėl šios priežasties viduryje esantis tinklo žmogus gali nukreipti vartotoją į //attack.avg.com ir pateikti „javascript“, kuris atveria skirtuką saugiai https kilmei, tada įleisti kodą į jį. Tai reiškia, kad viduryje esantis vyras gali užpulti tokias saugias https svetaines kaip „GMail“, „Banking“ ir pan.

Visiškai aišku: tai reiškia, kad AVG vartotojams SSL yra išjungtas.

„Google“ priėmė antrąjį AVG bandymą atnaujinti gruodžio 21 d., Tačiau „Google“ kol kas išjungė internetinius diegimus, nes buvo tiriami galimi politikos pažeidimai.

Uždarymo žodžiai

AVG kelia pavojų milijonams „Chrome“ vartotojų ir pirmą kartą nepateikė tinkamo pataisymo, kuris neišsprendė problemos. Tai gana problematiška įmonei, kuri bando apsaugoti vartotojus nuo grėsmių internete ir vietoje.

Įdomu būtų pamatyti, ar naudingi, ar ne, visi tie saugos programinės įrangos plėtiniai, kurie įdiegiami kartu su antivirusine programine įranga. Nenustebčiau, jei grįš rezultatai, kad jie daro daugiau žalos, nei suteikia naudos vartotojams.

Dabar jūs : kurį antivirusinį sprendimą naudojate?