AVG seab ohtu miljonid Chrome'i kasutajad

• Kategooria: Turvalisus

Proovige Meie Instrumenti Probleemide Kõrvaldamiseks

Valige Operatsioonisüsteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valige Projektsiooniprogramm (Valikuliselt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kirjeldage Oma Probleemi

Vastust Saama

Saada Mulle E -Posti Teel Näita Saidil

Turvaettevõte AVG, mis on tuntud tasuta ja kaubanduslike turbetoodete poolest, mis pakuvad laia valikut turbega seotud kaitsemeetmeid ja -teenuseid, seadis miljonid Chrome'i kasutajad hiljuti ohtu, purustades Chrome'i turvalisuse põhimõtteliselt ühes selle veebilaienditest brauser.

AVG, nagu paljud teisedki tasuta tooteid pakkuvad turvaettevõtted, kasutab AVG oma tasuta pakkumistest tulu teenimiseks erinevaid monetiseerimisstrateegiaid.

Üks osa võrrandist paneb kliente versiooniuuendusi tasulistele AVG-versioonidele kasutama ja mõnda aega oli see AVG-ga sarnaste ettevõtete jaoks ainus viis.

Tasuta versioon töötab iseseisvalt hästi, kuid seda kasutatakse tasulise versiooni reklaamimiseks, mis pakub lisaks selliseid täiustatud funktsioone nagu rämpspostitõrje või täiustatud tulemüür.

Turvaettevõtted hakkasid oma tasuta pakkumisse lisama muid tuluvooge ning viimasel ajal oli üks silmapaistvamaid brauserilaiendite loomine ning brauseri vaikeotsingumootori, avalehe ja sellega kaasneva uue vahelehe manipuleerimine. .

Kliendid, kes installivad arvutisse AVG-tarkvara, saavad lõpuks brauserite turvamise kohta juhise. Klõpsake liidese installimisel nuppu OK AVG Web TuneUp ühilduvates brauserites, kus kasutaja saab minimaalselt suhelda.

Chrome'i veebipoe andmetel on laiendil enam kui 8 miljonit kasutajat (Google'i enda statistika kohaselt ligi üheksa miljonit).

Kui see on süsteemi installitud, muudab see Chrome'i ja Firefoxi veebibrauseris avalehte, uut vahelehte ja vaikeotsingu pakkujat.

Installitud laiendil on vaja kaheksat luba, sealhulgas luba 'kõigi veebisaitide andmeid lugeda ja muuta', 'allalaadimiste muutmine', 'koostööd tegevate kohalike rakendustega suhtlemine', 'rakenduste, laienduste ja teemade haldamine' ning avalehe muutmine, otsinguseaded ja avaleht kohandatud AVG-otsingulehele.

Chrome märkab muudatusi ja palub kasutajatel pakkuda seadete taastamine nende varasematele väärtustele, kui laiendusega tehtud muudatused polnud ette nähtud.

Laiendi installimisega kaasnevad üsna paljud probleemid, näiteks muudab see käivitamissätte „konkreetse lehe avamiseks”, ignoreerides kasutajate valikuid (näiteks viimase seansi jätkamiseks).

Kui see pole piisavalt halb, on muudetud sätteid üsna raske muuta ilma laiendust keelamata. Kui kontrollite pärast AVG Web TuneUpi installimist ja aktiveerimist Chrome'i sätteid, märkate, et te ei saa enam avalehte muuta, parameetreid käivitada ega teenusepakkujaid otsida.

Peamine põhjus, miks neid muudatusi tehakse, on raha, mitte kasutajate turvalisus. AVG teenib, kui kasutajad teevad otsinguid ja klõpsavad nende loodud kohandatud otsingumootoril reklaamidel.

Kui lisate selleks, et ettevõte teatas hiljuti privaatsuspoliitika värskenduses, et ta kogub ja müüb - tuvastamatuid - kasutajaandmeid kolmandatele osapooltele, on teil ainuüksi hirmutav toode.

Turvaküsimus

Google'i töötaja esitatud 15. detsembri veateate, milles öeldakse, et AVG Web TuneUp keelas veebiturbe üheksa miljoni Chrome'i kasutaja jaoks. Kirjas AVG-le kirjutas ta:

Vabandan oma karmi tooni pärast, kuid ma pole tõesti põnevil, et see prügikast Chrome'i kasutajatele installitakse. Laiend on nii rängalt katki, et ma pole kindel, kas peaksin sellest teile teatama kui haavatavust või paluma laienduse kuritarvitamise meeskonnal uurida, kas tegemist on PuP-ga.

Sellegipoolest on minu mure selles, et teie turvatarkvara keelab 9 miljoni Chrome'i kasutaja veebiturvalisuse, ilmselt nii, et saate kaaperdada otsingusätted ja uue vahelehe.

Võimalikke on mitmeid ilmseid rünnakuid, näiteks siin on 'navigeerimise' API-s triviaalne universaalne xss, mis võimaldab igal veebisaidil skripti täita mis tahes muu domeeni kontekstis. Näiteks ründaja.com saab lugeda e-kirju aadressilt mail.google.com või corp.avg.com või muust.

Põhimõtteliselt seab AVG Chrome'i kasutajad laienduse kaudu ohtu, mis peaks väidetavalt muutma veebisirvimise Chrome'i kasutajatele turvalisemaks.

AVG vastas parandusega mitu päeva hiljem, kuid see lükati tagasi, kuna see ei lahendanud probleemi täielikult. Ettevõte üritas piirata kokkupuudet aktsepteerides taotlusi ainult juhul, kui päritolu vastab avg.com-le.

Paranduse probleem oli see, et AVG kontrollis ainult seda, kas avg.com oli kaasatud päritolustaatusesse, mida ründajad said kasutada, kasutades stringi sisaldavaid alamdomeene, nt. avg.com.www.example.com.

Google'i vastus tegi selgeks, et kaalul on rohkem.

Teie pakutud kood ei nõua turvalist päritolu, see tähendab, et see lubab hostinime kontrollimisel protokolle http: // või https: //. Seetõttu saab keskel asuv võrgumees suunata kasutaja saidile http://attack.avg.com ja varustada JavaScripti, mis avab vahekaardi turvalise https-päritoluga, ning seejärel sisestada sinna koodi. See tähendab, et keskel olev mees võib rünnata turvalisi https-saite, nagu GMail, pangandus jne.

Täiesti selge: see tähendab, et AVG kasutajatel on SSL keelatud.

Google kiitis heaks AVG teise värskenduskatse 21. detsembril, kuid Google keelas sisemised installid praegu võimalike eeskirjade rikkumiste uurimiseks.

Sõnade sulgemine

AVG seadis miljonid Chrome'i kasutajad ohtu ja ei andnud esimest korda korralikku plaastrit, mis probleemi ei lahendanud. See on üsna problemaatiline ettevõttele, kes üritab kaitsta kasutajaid Internetis ja kohalikul teel esinevate ohtude eest.

Huvitav oleks näha, kui kasulikud või mitte kõik need turvatarkvara laiendused on, mis installitakse viirusetõrjetarkvara juurde. Ma ei oleks üllatunud, kui tulemused tagasi tuleksid, kui nad teevad kasutajatele rohkem kahju kui pakuvad.

Nüüd sina : Millist viirusetõrjelahendust te kasutate?