Az AVG biztonsági társaság, amely jól ismert ingyenes és kereskedelmi biztonsági termékeiről, amelyek széles körű biztonsággal kapcsolatos biztosítékokat és szolgáltatásokat kínálnak, a közelmúltban a Chrome több millió felhasználóját veszélyeztette, azáltal, hogy alapvető módon megsértette a Chrome biztonságát az egyik internetes kiterjesztésében. böngészőt.
Az AVG, mint sok más, ingyenes termékeket kínáló biztonsági vállalat, különféle bevételszerzési stratégiákat alkalmaz, hogy bevételre tegyen szert ingyenes kínálatából.
Az egyenlet egyik része arra készteti az ügyfeleket, hogy frissítsenek az AVG fizetős verzióira, és egy ideig csak így működtek a dolgok az AVG-hez hasonló cégeknél.
Az ingyenes verzió önmagában is jól működik, de azt a fizetett verziót hirdetik, amely fejlett funkciókat kínál, mint például spam elleni védelem vagy továbbfejlesztett tűzfal.
A biztonsági társaságok további bevételi forrásokat kezdtek hozzáadni ingyenes kínálatukhoz, és az utóbbi időben az egyik legjelentősebb böngészőbővítmények létrehozása, valamint a böngésző alapértelmezett keresőmotorjának, a kezdőlapnak és az ahhoz kapcsolódó új lapnak a manipulálása volt. .
Azok az ügyfelek, akik az AVG szoftvert telepítik a számítógépükre, a végén felszólítanak a böngészők védelmére. A felületen az OK gombra kattintva telepíti az AVG Web TuneUp alkalmazást kompatibilis böngészőkbe, minimális felhasználói beavatkozással.
A kiterjesztés több mint 8 millió felhasználóval rendelkezik a Chrome Internetes áruház szerint (a Google saját statisztikái szerint közel kilenc millió).
Ezzel megváltoztatja a kezdőlapot, az új lapot és az alapértelmezett keresési szolgáltatót a Chrome és a Firefox webböngészőben, ha a rendszerre telepítve van.
A telepített bővítmény nyolc engedélyt igényel, ideértve a "minden weboldalon található adat olvasásának és megváltoztatásának", "a letöltések letöltésének", "az együttműködő natív alkalmazásokkal való kommunikációnak", "az alkalmazások, bővítmények és témák kezelése" és a kezdőlap megváltoztatásának engedélyét, a keresési beállítások és a kezdőoldal egy egyéni AVG keresési oldalra állítása.
A Chrome észreveszi a változásokat, és felszólítja a felhasználót, hogy a beállításokat visszaállítsák korábbi értékükre, ha a kiterjesztés által végrehajtott módosítások nem szándékoztak.
Néhány probléma merül fel a kiterjesztés telepítésével, például úgy, hogy az indítási beállítást úgy módosítja, hogy „egy adott oldalt nyisson meg”, figyelmen kívül hagyva a felhasználók választását (például az utolsó munkamenet folytatása).
Ha ez nem elég rossz, meglehetősen nehéz módosítani a megváltozott beállításokat a kiterjesztés letiltása nélkül. Ha az AVG Web TuneUp telepítése és aktiválása után ellenőrzi a Chrome beállításait, észreveszi, hogy már nem módosíthatja a kezdőlapot, a paramétereket és a keresési szolgáltatókat.
A változások fő oka a pénz, nem pedig a felhasználói biztonság. Az AVG keres, amikor a felhasználók keresést végeznek, és a létrehozott egyéni keresőmotoron kattintanak a hirdetésekre.
Ha ehhez hozzáteszi, hogy a társaság a közelmúltban az adatvédelmi irányelvek frissítésében bejelentette, hogy nem azonosítható felhasználói adatokat gyűjt és értékesít harmadik felek számára, önmagában ijesztő termék lesz a végén.
Biztonsági probléma
A Google alkalmazottja hibajelentést nyújtott be december 15-én, amelyben kijelentette, hogy az AVG Web TuneUp kilenc millió Chrome-felhasználó számára letiltotta az internetes biztonságot. Az AVG-nek írt levelében azt írta:
Elnézést kérek a durva hangzásomért, de igazán nem izgatott vagyok amiatt, hogy ezt a kukát telepítik a Chrome felhasználók számára. A kiterjesztés annyira súlyosan törött, hogy nem vagyok biztos abban, hogy jelentést kérek-e Önnek, mint sebezhetőségről, vagy kérem a kiterjesztés-visszaélési csoportot, hogy vizsgálja meg, hogy ez PuP.
Mindazonáltal attól tartok, hogy a biztonsági szoftverek 9 millió Chrome-felhasználó számára letiltják az internetes biztonságot, úgy tűnik, hogy ezzel eltérítheti a keresési beállításokat és az új lapot.
Számos nyilvánvaló támadás lehetséges, például: itt van egy triviális univerzális xss a "navigációs" API-ban, amely lehetővé teszi bármely webhely számára, hogy szkriptet futtasson bármely más domain összefüggésében. Például a attacker.com el tudja olvasni az e-maileket a mail.google.com, a corp.avg.com webhelyről, vagy bármi másból.
Alapvetően az AVG a kiterjesztés révén veszélyezteti a Chrome-felhasználókat, amelynek állítólag biztonságosabbá kellene tennie az internetes böngészést a Chrome-felhasználók számára.
Az AVG néhány nappal később javítással válaszolt, de elutasították, mivel nem oldotta meg a problémát teljesen. A társaság csak azért kérdezte meg az expozíció korlátozását, hogy a kéréseket csak akkor fogadta el, ha a származás megegyezik az avg.com-tal.
A javítás problémája az volt, hogy az AVG csak akkor ellenőrizte, ha az avg.com szerepel-e az eredetben, amelyet a támadók ki tudnak használni a karakterláncot tartalmazó aldomainek használatával, pl. Avg.com.www.example.com.
A Google válasza világossá tette, hogy több van a kockán.
A javasolt kód nem igényel biztonságos származást, vagyis lehetővé teszi a // vagy // protokollokat a gazdagépnév ellenőrzésekor. Emiatt a középső hálózati ember átirányíthatja a felhasználót a //attack.avg.com webhelyre, és elküldheti a javascriptet, amely egy fület nyit meg egy biztonságos https eredethez, majd befecskendezheti azt. Ez azt jelenti, hogy egy középső ember támadhat olyan biztonságos https-oldalakon, mint a GMail, a banki szolgáltatások és így tovább.
Teljesen egyértelmű: ez azt jelenti, hogy az AVG felhasználók SSL-jét letiltották.
Az AVG december 21-i második frissítési kísérletét a Google elfogadta, ám a Google egyelőre letiltotta az inline telepítést, mivel a lehetséges szabálysértéseket kivizsgálták.
Záró szavak
Az AVG a Chrome felhasználóinak millióit veszélyeztette, és első alkalommal nem adott be megfelelő javítást, amely nem oldotta meg a problémát. Ez nagyon problematikus egy olyan vállalat számára, amely megpróbálja megvédeni a felhasználókat az interneten és a helyi fenyegetésektől.
Érdekes lenne megnézni, hogy mennyire hasznosak vagy sem, vagy nem, azok a biztonsági szoftverbővítmények, amelyeket az antivírusszoftverekkel együtt telepítenek. Nem lennék meglepve, ha az eredmények visszatérnének, hogy több kárt okoznak, mint felhasználást biztosítanak a felhasználók számára.
Most Ön : Milyen víruskereső megoldást használ?
