AVG pakļaujot miljoniem Chrome lietotāju risku

Drošības uzņēmums AVG, kas plaši pazīstams ar bezmaksas un komerciāliem drošības produktiem, kas piedāvā plašu ar drošību saistītu drošības un pakalpojumu klāstu, nesen miljoniem Chrome lietotāju ir pakļāvis riskam, būtiski sabojājot Chrome drošību vienā no tā paplašinājumiem tīmeklim. pārlūks.

AVG, tāpat kā daudzas citas apsardzes firmas, kas piedāvā bezmaksas produktus, izmanto dažādas monetizācijas stratēģijas, lai nopelnītu ieņēmumus no saviem bezmaksas piedāvājumiem.

Vienādojuma daļa liek klientiem jaunināties uz apmaksātām AVG versijām, un kādu laiku tas bija vienīgais veids, kā darbojās tādi uzņēmumi kā AVG.

Bezmaksas versija pati par sevi darbojas labi, taču tā tiek izmantota, lai reklamētu maksas versiju, kas papildus piedāvā uzlabotas funkcijas, piemēram, anti-spam vai uzlabotu ugunsmūri.

Apsardzes firmas saviem bezmaksas piedāvājumiem sāka pievienot citas ieņēmumu plūsmas, un viena no visizcilākajām pēdējā laikā bija saistīta ar pārlūka paplašinājumu izveidi un manipulācijām ar pārlūka noklusējuma meklētājprogrammu, mājas lapu un jauno cilnes lapu, kas tai pievienota. .

Klienti, kuri datorā instalē AVG programmatūru, beigās saņem uzvedni, lai aizsargātu pārlūkprogrammas. Klikšķis uz ok saskarnē ok instalē AVG Web TuneUp saderīgos pārlūkos ar minimālu lietotāja mijiedarbību.

Saskaņā ar Chrome interneta veikala informāciju paplašinājumam ir vairāk nekā 8 miljoni lietotāju (saskaņā ar paša Google statistiku gandrīz deviņi miljoni).

To darot, tiek mainīta sākumlapa, jauna cilnes lapa un noklusējuma meklēšanas nodrošinātājs pārlūkā Chrome un Firefox, ja tas ir instalēts sistēmā.

Instalētais paplašinājums pieprasa astoņas atļaujas, ieskaitot atļauju "lasīt un mainīt visus datus visās vietnēs", "atjaunināt lejupielādes", "sazināties ar vietējām lietojumprogrammām, kas sadarbojas", "lietotņu, paplašinājumu un motīvu pārvaldīšana" un mainīt mājas lapu, meklēšanas iestatījumus un sākuma lapu - uz pielāgotu AVG meklēšanas lapu.

Pārlūks Chrome pamana izmaiņas un liks lietotājiem piedāvāt atjaunot iestatījumus iepriekšējām vērtībām, ja paplašinājuma veiktās izmaiņas nebija paredzētas.

Paplašinājuma instalēšana rada diezgan daudz problēmu, piemēram, tas maina startēšanas iestatījumu uz "atvērt īpašu lapu", ignorējot lietotāju izvēli (piemēram, turpināt pēdējo sesiju).

Ja tas nav pietiekami slikti, ir diezgan grūti modificēt mainītos iestatījumus, neatspējojot paplašinājumu. Ja pārbaudīsit Chrome iestatījumus pēc AVG Web TuneUp instalēšanas un aktivizēšanas, pamanīsit, ka vairs nevarat modificēt mājas lapu, sākt parametrus vai meklēt pakalpojumu sniedzējus.

Galvenais iemesls, kāpēc šīs izmaiņas tiek veiktas, ir nauda, ​​nevis lietotāju drošība. AVG nopelna, kad lietotāji veic meklēšanu un noklikšķina uz reklāmām viņu izveidotajā pielāgotajā meklētājprogrammā.

Ja jūs tam pievienojat to, ka uzņēmums nesen privātuma politikas atjauninājumā paziņoja, ka tas apkopos un pārdos - neidentificējamus - lietotāja datus trešajām personām, jūs pats nonāksit ar biedējošu produktu.

Drošības jautājums

Google darbinieks 15. decembrī iesniedza ziņojumu par kļūdu, paziņojot, ka AVG Web TuneUp ir atspējojis tīmekļa drošību deviņiem miljoniem Chrome lietotāju. Vēstulē AVG viņš rakstīja:

Atvainojiet par manu skarbo signālu, bet es tiešām neesmu sajūsmā par šīs miskastes instalēšanu Chrome lietotājiem. Paplašinājums ir tik ļoti salauzts, ka es neesmu pārliecināts, vai man par to jāziņo kā par ievainojamību, vai arī lūdzu paplašinājuma ļaunprātīgas izmantošanas komandu izpētīt, vai tas ir PuP.

Neskatoties uz to, es uztraucos, ka jūsu drošības programmatūra atspējo tīmekļa drošību 9 miljoniem Chrome lietotāju, acīmredzot tāpēc, ka jūs varat nolaupīt meklēšanas iestatījumus un jauno cilni.

Ir iespējami vairāki acīmredzami uzbrukumi, piemēram, šeit ir triviāla universāla xss "navigate" API, kas jebkurai vietnei var ļaut izpildīt skriptu jebkura cita domēna kontekstā. Piemēram, attacker.com var lasīt e-pasta ziņojumus no mail.google.com, corp.avg.com vai jebkuras citas vietas.

Būtībā AVG pakļauj Chrome lietotājiem tā paplašinājumu, kam it kā būtu jāpadara tīmekļa pārlūkošana drošāka Chrome lietotājiem.

AVG atbildēja ar labojumu vairākas dienas vēlāk, taču tas tika noraidīts, jo tas pilnībā neatrisināja problēmu. Uzņēmums mēģināja ierobežot iedarbību, pieņemot pieprasījumus tikai tad, ja izcelsme atbilst avg.com.

Problēma ar labojumu bija tāda, ka AVG pārbaudīja tikai to, vai avg.com tika iekļauts izcelsmē, kuru uzbrucēji varēja izmantot, izmantojot apakšdomēnus, kas ietvēra virkni, piemēram, avg.com.www.example.com.

Google reakcija skaidri pateica, ka uz spēles ir vairāk.

Jūsu piedāvātajam kodam nav nepieciešama droša izcelsme, tas nozīmē, ka tas ļauj // vai // protokolus, pārbaudot resursdatora vārdu. Tāpēc tīkla cilvēks pa vidu var novirzīt lietotāju uz //attack.avg.com un piegādāt javascript, kas atver cilni drošai https izcelsmei, un pēc tam tajā ievadīt kodu. Tas nozīmē, ka cilvēks pa vidu var uzbrukt tādām drošām https vietnēm kā GMail, Banking utt.

Lai būtu pilnīgi skaidrs: tas nozīmē, ka AVG lietotājiem ir atspējots SSL.

AVG otro atjaunināšanas mēģinājumu 21. decembrī pieņēma Google, taču pagaidām Google atspējoja inline instalācijas, jo tika izmeklēti iespējamie politikas pārkāpumi.

Noslēguma vārdi

AVG pakļāva miljoniem Chrome lietotāju riskam un pirmo reizi neizdeva pienācīgu ielāpu, kas neatrisināja problēmu. Tas ir diezgan problemātiski uzņēmumam, kurš cenšas pasargāt lietotājus no draudiem internetā un lokāli.

Būtu interesanti redzēt, cik izdevīgi vai nē visi šie drošības programmatūras paplašinājumi, kas tiek instalēti līdzās pretvīrusu programmatūrai. Es nebūtu pārsteigts, ja rezultāti atgrieztos, ka tie nodara lielāku ļaunumu nekā nodrošina izmantošanu lietotājiem.

Tagad jūs : kuru pretvīrusu risinājumu jūs izmantojat?