AVG kelia pavojų milijonams „Chrome“ vartotojų
- Kategorija: Saugumas
Apsaugos įmonė AVG, gerai žinoma dėl savo nemokamų ir komercinių saugos produktų, siūlančių platų su saugumu susijusių apsaugos priemonių ir paslaugų asortimentą, milijonams „Chrome“ vartotojų pastaruoju metu sukėlė pavojų, iš esmės pakeisdama „Chrome“ saugumą viename iš jo plėtinių žiniatinkliui. naršyklė.
AVG, kaip ir daugelis kitų nemokamus produktus siūlančių apsaugos bendrovių, naudoja įvairias pajamų gavimo strategijas, kad uždirbtų pajamų iš savo nemokamų pasiūlymų.
Viena iš lygties dalių verčia klientus pereiti prie mokamų AVG versijų ir tam tikrą laiką tai buvo vienintelis būdas tokioms įmonėms kaip AVG.
Nemokama versija veikia pati savaime, tačiau ji naudojama reklamuojant mokamą versiją, siūlančią papildomas funkcijas, tokias kaip šlamštas ar patobulinta ugniasienė.
Apsaugos kompanijos į savo nemokamą pasiūlą ėmė įtraukti kitas pajamų srautus, o vienas ryškiausių pastaruoju metu buvo susijęs su naršyklės plėtinių kūrimu ir manipuliavimu naršyklės numatytuoju paieškos varikliu, pagrindiniu puslapiu ir nauju skirtuko puslapiu, kuris kartu su juo buvo sukurtas. .
Klientai, diegiantys AVG programinę įrangą savo kompiuteryje, galų gale raginami apsaugoti savo naršykles. Įdiegus sąsają spustelėkite gerai „AVG Web TuneUp“ suderinamose naršyklėse su minimalia vartotojo sąveika.
Remiantis „Chrome“ internetine parduotuve, plėtinyje yra daugiau nei 8 milijonai vartotojų (pagal paties „Google“ statistiką - beveik devyni milijonai).
Tai padarius, pagrindinis puslapis, naujas skirtuko puslapis ir numatytasis paieškos teikėjas keičiami „Chrome“ ir „Firefox“ žiniatinklio naršyklėje, jei jie įdiegti sistemoje.
Įdiegtas plėtinys reikalauja aštuonių leidimų, įskaitant leidimą „skaityti ir keisti visus duomenis visose svetainėse“, „parsisiųsti duomenų perkėlimą“, „bendrauti su bendradarbiaujančiomis vietinėmis programomis“, „tvarkyti programas, plėtinius ir temas“ ir keisti pagrindinį puslapį, paieškos nustatymus ir pradinį puslapį - į pasirinktinį AVG paieškos puslapį.
„Chrome“ pastebi pakeitimus ir paragins vartotojus, kurie siūlo atkurti ankstesnes reikšmes, jei pakeitimai nebuvo padaryti.
Diegiant plėtinį kyla keletas problemų, pavyzdžiui, pakeitus paleisties parametrą į „atidaryti tam tikrą puslapį“, nepaisant vartotojo pasirinkimo (pavyzdžiui, tęsti paskutinę sesiją).
Jei tai nėra pakankamai blogai, gana sunku pakeisti pakeistus parametrus neišjungiant plėtinio. Jei patikrinsite „Chrome“ nustatymus įdiegę ir suaktyvinę „AVG Web TuneUp“, pastebėsite, kad nebegalite modifikuoti pagrindinio puslapio, pradėti parametrų ar ieškoti teikėjų.
Pagrindinė šių pakeitimų priežastis yra pinigai, o ne vartotojo saugumas. AVG uždirba vartotojams atlikus paiešką ir spustelėjus skelbimus jų sukurtame tinkintame paieškos variklyje.
Jei pridėsite kad bendrovė neseniai privatumo politikos atnaujinime paskelbė, kad ji surenka ir parduos neidentifikuojamus vartotojo duomenis trečiosioms šalims, jūs patys turėsite gąsdinantį produktą.
Saugumo klausimas
„Google“ darbuotojas paduotas gruodžio 15 d. pranešimas apie klaidą, kuriame teigiama, kad „AVG Web TuneUp“ išjungė interneto apsaugą devyniems milijonams „Chrome“ vartotojų. Laiške AVG jis parašė:
Atsiprašome už savo griežtą toną, bet tikrai nesu jaudinamas dėl šios šiukšliadėžės įdiegimo „Chrome“ vartotojams. Plėtinys yra taip smarkiai sulūžęs, kad nesu tikras, ar turėčiau pranešti jums apie pažeidžiamumą, ar paprašyti plėtinio piktnaudžiavimo komandos ištirti, ar tai nėra „PuP“.
Nepaisant to, aš susirūpinęs, kad jūsų saugos programinė įranga neleidžia interneto saugumo 9 milijonams „Chrome“ vartotojų, matyt, kad jūs galite užgrobti paieškos nustatymus ir naujo skirtuko puslapį.
Galimos kelios akivaizdžios atakos, pavyzdžiui, čia yra nesvarbi visuotinė xss „navigate“ API, leidžianti bet kuriai svetainei vykdyti scenarijų bet kurio kito domeno kontekste. Pvz., Attacker.com gali skaityti el. Laiškus iš mail.google.com, corp.avg.com ar dar ko nors.
Iš esmės AVG kelia pavojų „Chrome“ vartotojams dėl jo plėtinio, kuris, kaip manoma, turėtų padaryti naršymą internete saugesnius „Chrome“ vartotojams.
Po kelių dienų AVG atsakė su taisymu, tačiau jis buvo atmestas, nes visiškai neišsprendė problemos. Bendrovė bandė apriboti parodymą priimdama užklausas tik tuo atveju, jei kilmė atitinka avg.com.
Pataisų problema buvo ta, kad AVG tik patikrino, ar avg.com buvo įtrauktas į kilmę, kurią užpuolikai galėjo išnaudoti naudodami padomenius, kuriuose yra eilutė, pvz. avg.com.www.example.com.
„Google“ atsakymas leido suprasti, kad rizikuojama daugiau.
Siūlomas kodas nereikalauja saugios kilmės, tai reiškia, kad jis leidžia http: // arba https: // protokolus tikrinant pagrindinį kompiuterio vardą. Dėl šios priežasties viduryje esantis tinklo žmogus gali nukreipti vartotoją į http://attack.avg.com ir pateikti „javascript“, kuris atveria skirtuką saugiai https kilmei, tada įleisti kodą į jį. Tai reiškia, kad viduryje esantis vyras gali užpulti tokias saugias https svetaines kaip „GMail“, „Banking“ ir pan.
Visiškai aišku: tai reiškia, kad AVG vartotojams SSL yra išjungtas.
„Google“ priėmė antrąjį AVG bandymą atnaujinti gruodžio 21 d., Tačiau „Google“ kol kas išjungė internetinius diegimus, nes buvo tiriami galimi politikos pažeidimai.
Uždarymo žodžiai
AVG kelia pavojų milijonams „Chrome“ vartotojų ir pirmą kartą nepateikė tinkamo pataisymo, kuris neišsprendė problemos. Tai gana problematiška įmonei, kuri bando apsaugoti vartotojus nuo grėsmių internete ir vietoje.
Įdomu būtų pamatyti, ar naudingi, ar ne, visi tie saugos programinės įrangos plėtiniai, kurie įdiegiami kartu su antivirusine programine įranga. Nenustebčiau, jei grįš rezultatai, kad jie daro daugiau žalos, nei suteikia naudos vartotojams.
Dabar tu : Kurį antivirusinį sprendimą naudojate?