AVG asettaa miljoonat Chromen käyttäjät vaarassa
- Luokka: Turvallisuus
Turvayritys AVG, joka tunnetaan ilmaisista ja kaupallisista tietoturvatuotteistaan, jotka tarjoavat laajan valikoiman tietoturvaan liittyviä suojaustoimenpiteitä ja palveluita, on viime aikoina asettanut miljoonille Chromen käyttäjille riskin rikkomalla Chromen tietoturvaa perusteellisella tavalla yhdellä sen Web-laajennuksista selain.
AVG, kuten monet muutkin ilmaisia tuotteita tarjoavat tietoturvayritykset, käyttää erilaisia kaupallistamisstrategioita ansaitakseen tuloja ilmaisista tarjouksistaan.
Yksi osa yhtälöstä saa asiakkaita päivittämään maksettuihin AVG-versioihin ja vain jonkin aikaa asiat toimivat AVG: n kaltaisissa yrityksissä.
Ilmainen versio toimii itsenäisesti, mutta sitä käytetään mainostamaan maksettua versiota, joka tarjoaa edistyneitä ominaisuuksia, kuten roskapostin torjunta tai parannetun palomuurin.
Turvayhtiöt alkoivat lisätä muita tulovirtoja ilmaiseen tarjontaansa, ja yksi viime aikojen näkyvimmistä liittyi selainlaajennusten luomiseen ja selaimen oletushakukoneen, kotisivun ja sen mukana tulevan uuden välilehden käsittelyyn. .
Asiakkaat, jotka asentavat AVG-ohjelmiston tietokoneelleen, kehottavat lopulta suojaamaan selaimensa. Napsauta OK käyttöliittymän asennuksissa AVG Web TuneUp yhteensopivissa selaimissa, joissa käyttäjän toiminta on minimaalista.
Chrome Web Storen mukaan laajennuksella on yli 8 miljoonaa käyttäjää (Googlen omien tilastojen mukaan lähes yhdeksän miljoonaa).
Jos näin tehdään, kotisivu, uusi välilehti ja oletushakutarjoaja muuttuvat Chromen ja Firefox-selaimessa, jos ne on asennettu järjestelmään.
Asennettava laajennus vaatii kahdeksan käyttöoikeutta, mukaan lukien luvan 'lukea ja muuttaa kaikkien verkkosivustojen tietoja', 'latausten lataaminen', 'yhteydenpito yhteistyössä toimivien alkuperäisten sovellusten kanssa', 'sovellusten, laajennusten ja teemojen hallinta' sekä kotisivun vaihtaminen, hakuasetukset ja aloitussivu mukautetulle AVG-hakusivulle.
Chrome huomauttaa muutokset ja kehottaa käyttäjiä, jotka tarjoavat palauttamaan asetukset aiempiin arvoihinsa, jos laajennuksen tekemiä muutoksia ei ole tarkoitettu.
Laajennuksen asentamisesta aiheutuu melko vähän ongelmia, esimerkiksi se, että se muuttaa käynnistysasetuksen 'avata tietty sivu' jättäen käyttäjien valinnan pois (esimerkiksi jatkamaan viimeistä istuntoa).
Jos tämä ei ole tarpeeksi huono, on melko vaikea muokata muutettuja asetuksia poistamatta laajennusta käytöstä. Jos tarkistat Chrome-asetukset AVG Web TuneUpin asennuksen ja aktivoinnin jälkeen, huomaat, että et voi enää muokata kotisivua, käynnistää parametreja tai etsiä palveluntarjoajia.
Tärkein syy muutoksiin on raha, ei käyttäjän turvallisuus. AVG ansaitsee, kun käyttäjät tekevät hakuja ja napsauttavat mainoksia luomassaan mukautetussa hakukoneessa.
Jos lisäät sille, että yritys ilmoitti äskettäin tietosuojakäytäntöpäivityksessä, että se kerää ja myy - tunnistamattomia - käyttäjätietoja kolmansille osapuolille, sinulla on pelottava tuote yksinään.
Turvallisuuskysymys
Google-työntekijä arkistoida virheraportti 15. joulukuuta, jossa todettiin, että AVG Web TuneUp on poistanut verkkosuojauksen yhdeksälle miljoonalle Chromen käyttäjälle. Kirjeessään AVG: lle hän kirjoitti:
Pahoittelen ankaraa ääniäni, mutta en todellakaan ole innoissani siitä, että tämä roskakori asennetaan Chromen käyttäjille. Laajennus on rikki niin pahasti, etten ole varma, pitäisikö minun ilmoittaa siitä sinulle haavoittuvuutena vai pyytää laajennuksen väärinkäyttäjätiimiä tutkimaan, onko kyse PuP: sta.
Siitä huolimatta, että tietoturvaohjelmistosi poistaa Internet-tietoturvan 9 miljoonalta Chromen käyttäjältä, ilmeisesti niin, että voit kaapata hakuasetukset ja uuden välilehden sivun.
On olemassa useita ilmeisiä hyökkäyksiä, esimerkiksi tässä 'navigointi' -sovellusliittymässä on triviaali universaali xss, joka voi antaa minkä tahansa verkkosivuston suorittaa komentosarjoja minkä tahansa muun verkkotunnuksen yhteydessä. Esimerkiksi hyökkääjä.com voi lukea sähköpostia osoitteista mail.google.com tai corp.avg.com tai mistä tahansa muusta.
Pohjimmiltaan AVG asettaa Chromen käyttäjät vaaraan laajennuksensa avulla, jonka pitäisi väittää tekevän verkkoselaamisesta Chromen käyttäjille turvallisempaa.
AVG vastasi korjauksella useita päiviä myöhemmin, mutta se hylättiin, koska se ei ratkaissut ongelmaa kokonaan. Yhtiö yritti rajoittaa näkyvyyttä hyväksymällä vain pyynnöt, jos alkuperä vastaa avg.com-sivustoa.
Korjauksen ongelma oli, että AVG tarkisti vain, oliko avg.com mukana alkuperässä, jota hyökkääjät voivat hyödyntää käyttämällä aliverkkotunnuksia, jotka sisälsivät merkkijonon, esim. avg.com.www.example.com.
Googlen vastaus teki selväksi, että vaarassa oli enemmän.
Ehdotettu koodi ei vaadi suojattua alkuperää, mikä tarkoittaa, että se sallii http: //- tai https: // -protokollat tarkistettaessa isäntänimeä. Tämän takia keskellä oleva verkonmies voi ohjata käyttäjän osoitteeseen http://attack.avg.com ja toimittaa javascriptin, joka avaa välilehden suojatulle https-alkuperälle, ja lisätä sen sitten koodin. Tämä tarkoittaa, että keskellä oleva mies voi hyökätä suojattuihin https-sivustoihin, kuten GMail, Banking ja niin edelleen.
Aivan selvästi: tämä tarkoittaa, että AVG-käyttäjillä on SSL poistettu käytöstä.
Google hyväksyi AVG: n toisen päivitysyrityksen 21. joulukuuta, mutta Google käytti inline-asennuksia käytöstä toistaiseksi, koska mahdollisia käytäntöjen rikkomuksia tutkittiin.
Loppu sanat
AVG asetti miljoonille Chromen käyttäjille riskin eikä onnistunut toimittamaan kunnollista korjaustiedostoa ensimmäistä kertaa, mikä ei ratkaissut ongelmaa. Se on melko ongelmallista yritykselle, joka yrittää suojata käyttäjiä Internetin ja paikallisten uhkien varalta.
Olisi mielenkiintoista nähdä, kuinka hyödyllisiä tai ei ole kaikkia niitä tietoturvaohjelmistolaajennuksia, jotka asennetaan virustorjuntaohjelmien rinnalle. En olisi yllättynyt, jos tulokset palautuisivat siihen, että ne aiheuttavat enemmän haittaa kuin tarjoavat käyttäjille hyötyä.
Nyt sinä : Mitä virustorjuntaratkaisua käytät?