AVG pakļaujot miljoniem Chrome lietotāju risku
- Kategorija: Drošība
Drošības uzņēmums AVG, kas plaši pazīstams ar bezmaksas un komerciāliem drošības produktiem, kas piedāvā plašu ar drošību saistītu drošības un pakalpojumu klāstu, nesen miljoniem Chrome lietotāju ir pakļāvis riskam, būtiski sabojājot Chrome drošību vienā no tā paplašinājumiem tīmeklim. pārlūks.
AVG, tāpat kā daudzas citas apsardzes firmas, kas piedāvā bezmaksas produktus, izmanto dažādas monetizācijas stratēģijas, lai nopelnītu ieņēmumus no saviem bezmaksas piedāvājumiem.
Vienādojuma daļa liek klientiem jaunināties uz apmaksātām AVG versijām, un kādu laiku tas bija vienīgais veids, kā darbojās tādi uzņēmumi kā AVG.
Bezmaksas versija pati par sevi darbojas labi, taču tā tiek izmantota, lai reklamētu maksas versiju, kas papildus piedāvā uzlabotas funkcijas, piemēram, anti-spam vai uzlabotu ugunsmūri.
Apsardzes firmas saviem bezmaksas piedāvājumiem sāka pievienot citas ieņēmumu plūsmas, un viena no visizcilākajām pēdējā laikā bija saistīta ar pārlūka paplašinājumu izveidi un manipulācijām ar pārlūka noklusējuma meklētājprogrammu, mājas lapu un jauno cilnes lapu, kas tai pievienota. .
Klienti, kuri datorā instalē AVG programmatūru, beigās saņem uzvedni, lai aizsargātu pārlūkprogrammas. Instalēšanas saskarnē noklikšķiniet uz ok AVG Web TuneUp saderīgos pārlūkos ar minimālu lietotāja mijiedarbību.
Saskaņā ar Chrome interneta veikala informāciju paplašinājumam ir vairāk nekā 8 miljoni lietotāju (saskaņā ar paša Google statistiku gandrīz deviņi miljoni).
To darot, tiek mainīta sākumlapa, jauna cilnes lapa un noklusējuma meklēšanas nodrošinātājs pārlūkā Chrome un Firefox, ja tas ir instalēts sistēmā.
Instalētais paplašinājums pieprasa astoņas atļaujas, ieskaitot atļauju “lasīt un mainīt visus datus visās vietnēs”, “lejupielādēt failus”, “sazināties ar vietējām lietojumprogrammām, kas sadarbojas”, “lietotņu, paplašinājumu un motīvu pārvaldīšana” un mājas lapas maiņu, meklēšanas iestatījumus un sākuma lapu - uz pielāgotu AVG meklēšanas lapu.
Pārlūks Chrome pamana izmaiņas un liks lietotājiem piedāvāt atjaunot iestatījumus iepriekšējām vērtībām, ja paplašinājuma veiktās izmaiņas nebija paredzētas.
Ar paplašinājuma instalēšanu rodas diezgan daudz problēmu, piemēram, tas maina startēšanas iestatījumu uz “atvērt noteiktu lapu”, ignorējot lietotāju izvēli (piemēram, turpināt pēdējo sesiju).
Ja tas nav pietiekami slikti, ir diezgan grūti modificēt mainītos iestatījumus, neatspējojot paplašinājumu. Ja pārbaudīsit Chrome iestatījumus pēc AVG Web TuneUp instalēšanas un aktivizēšanas, pamanīsit, ka vairs nevarat modificēt mājas lapu, sākt parametrus vai meklēt pakalpojumu sniedzējus.
Galvenais iemesls, kāpēc šīs izmaiņas tiek veiktas, ir nauda, nevis lietotāju drošība. AVG nopelna, kad lietotāji veic meklēšanu un noklikšķina uz reklāmām viņu izveidotajā pielāgotajā meklētājprogrammā.
Ja jūs pievienojat ņemot vērā to, ka uzņēmums nesen privātuma politikas atjauninājumā paziņoja, ka apkopos un pārdos - neidentificējamus - lietotāja datus trešajām personām, jūs pats būsit pats biedējošs produkts.
Drošības jautājums
Google darbinieks iesniegts kļūdu ziņojums 15. decembrī, kurā teikts, ka AVG Web TuneUp ir atspējojis tīmekļa drošību deviņiem miljoniem Chrome lietotāju. Vēstulē AVG viņš rakstīja:
Atvainojiet par manu skarbo signālu, bet es tiešām neesmu sajūsmā par šīs miskastes instalēšanu Chrome lietotājiem. Paplašinājums ir tik ļoti salauzts, ka es neesmu pārliecināts, vai man par to jāziņo kā par ievainojamību, vai arī lūdzu paplašinājuma ļaunprātīgas izmantošanas komandu izpētīt, vai tā ir PuP.
Neskatoties uz to, es uztraucos, ka jūsu drošības programmatūra atspējo tīmekļa drošību 9 miljoniem Chrome lietotāju, acīmredzot tāpēc, ka jūs varat nolaupīt meklēšanas iestatījumus un jauno cilni.
Ir iespējami vairāki acīmredzami uzbrukumi, piemēram, šeit ir triviāla universāla xss 'navigācijas' API, kas jebkurai vietnei var ļaut izpildīt skriptu jebkura cita domēna kontekstā. Piemēram, attacker.com var lasīt e-pasta ziņojumus no mail.google.com, corp.avg.com vai jebkuras citas vietas.
Būtiski, ka AVG pakļauj Chrome lietotājus, izmantojot tā paplašinājumu, kam, domājams, būtu jāpadara tīmekļa pārlūkošana drošāka Chrome lietotājiem.
AVG atbildēja ar labojumu vairākas dienas vēlāk, taču tas tika noraidīts, jo tas pilnībā neatrisināja problēmu. Uzņēmums mēģināja ierobežot iedarbību, pieņemot pieprasījumus tikai tad, ja izcelsme atbilst avg.com.
Problēma ar labojumu bija tāda, ka AVG pārbaudīja tikai tad, ja avg.com tika iekļauts izcelsmē, kuru uzbrucēji varēja izmantot, izmantojot apakšdomēnus, kas ietvēra virkni, piem. avg.com.www.example.com.
Google reakcija skaidri pateica, ka uz spēles ir vairāk.
Jūsu piedāvātajam kodam nav nepieciešama droša izcelsme, tas nozīmē, ka, pārbaudot resursdatora vārdu, tas atļauj protokolus http: // vai https: //. Sakarā ar to tīkla centrālais lietotājs var novirzīt lietotāju uz vietni http://attack.avg.com un piegādāt javascript, kas atver cilni drošai https izcelsmei, un pēc tam tajā ievadīt kodu. Tas nozīmē, ka cilvēks pa vidu var uzbrukt tādām drošām https vietnēm kā GMail, Banking utt.
Lai būtu pilnīgi skaidrs: tas nozīmē, ka AVG lietotājiem ir atspējots SSL.
AVG otro atjaunināšanas mēģinājumu 21. decembrī pieņēma Google, taču pagaidām Google atspējoja inline instalācijas, jo tika izmeklēti iespējamie politikas pārkāpumi.
Noslēguma vārdi
AVG pakļāva miljoniem Chrome lietotāju riskam un pirmo reizi neizdevās piegādāt pareizu ielāpu, kas neatrisināja problēmu. Tas ir diezgan problemātiski uzņēmumam, kurš cenšas pasargāt lietotājus no draudiem internetā un vietējā mērogā.
Būtu interesanti redzēt, cik izdevīgi vai nē visi šie drošības programmatūras paplašinājumi, kas tiek instalēti līdzās pretvīrusu programmatūrai. Es nebūtu pārsteigts, ja rezultāti atgrieztos, ka tie nodara lielāku ļaunumu nekā nodrošina izmantošanu lietotājiem.
Tagad Tu : Kuru pretvīrusu risinājumu jūs izmantojat?