Охранная компания AVG, известная своими бесплатными и коммерческими продуктами для обеспечения безопасности, которые предлагают широкий спектр защитных мер и услуг, недавно подвергла риску миллионы пользователей Chrome, фундаментально нарушив безопасность Chrome в одном из своих расширений для Интернета. браузер.
AVG, как и многие другие охранные компании, предлагающие бесплатные продукты, использует различные стратегии монетизации, чтобы получать доход от своих бесплатных предложений.
Одна из составляющих этого уравнения - заставить клиентов перейти на платные версии AVG, и какое-то время это был единственный способ, с помощью которого работали такие компании, как AVG.
Бесплатная версия прекрасно работает сама по себе, но используется для рекламы платной версии, предлагающей расширенные функции, такие как защита от спама или расширенный брандмауэр.
Охранные компании начали добавлять другие источники дохода к своим бесплатным предложениям, и один из самых заметных за последнее время включал создание расширений браузера и манипулирование поисковой системой по умолчанию браузера, домашней страницей и новой вкладкой, которые сопровождают его.,
Клиенты, которые устанавливают программное обеспечение AVG на свои ПК, в конце получают подсказку для защиты своих браузеров. Нажатие кнопки «ОК» в интерфейсе устанавливает AVG Web TuneUp в совместимых браузерах с минимальным вмешательством пользователя.
По данным Chrome Web Store, расширение имеет более 8 миллионов пользователей (согласно собственной статистике Google почти девять миллионов).
Это приведет к изменению домашней страницы, новой вкладки и поставщика поиска по умолчанию в веб-браузере Chrome и Firefox, если он установлен в системе.
Установленное расширение запрашивает восемь разрешений, включая разрешение «читать и изменять все данные на всех веб-сайтах», «управлять загрузками», «взаимодействовать с взаимодействующими нативными приложениями», «управлять приложениями, расширениями и темами» и изменять домашнюю страницу, Настройки поиска и стартовая страница для пользовательской страницы поиска AVG.
Chrome замечает изменения и предлагает пользователям предлагать восстановить настройки до прежних значений, если изменения, сделанные расширением, не были предназначены.
При установке расширения возникает несколько проблем, например, при изменении параметра запуска «открыть определенную страницу», игнорируя выбор пользователя (например, чтобы продолжить последний сеанс).
Если это не так уж плохо, довольно сложно изменить измененные настройки без отключения расширения. Если вы проверите настройки Chrome после установки и активации AVG Web TuneUp, вы заметите, что больше не можете изменять домашнюю страницу, параметры запуска или службы поиска.
Основная причина этих изменений - деньги, а не безопасность пользователей. AVG зарабатывает, когда пользователи выполняют поиск и нажимают на объявления в созданной ими пользовательской поисковой системе.
Если вы добавите к этому, что компания недавно объявила в обновлении политики конфиденциальности, что она будет собирать и продавать - не идентифицируемые - пользовательские данные третьим сторонам, вы получите страшный продукт сам по себе.
Проблема безопасности
15 декабря сотрудник Google подал отчет об ошибке, в котором говорилось, что AVG Web TuneUp отключает веб-безопасность для девяти миллионов пользователей Chrome. В письме к AVG он написал:
Извините за мой резкий тон, но я действительно не в восторге от того, что этот мусор устанавливается для пользователей Chrome. Расширение настолько сильно повреждено, что я не уверен, должен ли я сообщать вам об этом как об уязвимости или просить группу по надзору за злоупотреблениями выяснить, является ли это PuP.
Тем не менее, я обеспокоен тем, что ваше программное обеспечение безопасности отключает веб-безопасность для 9 миллионов пользователей Chrome, очевидно, чтобы вы могли захватить параметры поиска и страницу новой вкладки.
Возможны множественные очевидные атаки, например, вот тривиальный универсальный xss в «навигационном» API, который может позволить любому веб-сайту выполнять сценарии в контексте любого другого домена. Например, attacker.com может читать электронную почту с mail.google.com или corp.avg.com или чего-либо еще.
По сути, AVG подвергает пользователей Chrome риску благодаря своему расширению, которое предположительно должно сделать просмотр веб-страниц более безопасным для пользователей Chrome.
AVG ответила исправлением через несколько дней, но оно было отклонено, поскольку не решило проблему полностью. Компания пыталась ограничить воздействие, только принимая запросы, если источник соответствует avg.com.
Проблема с исправлением заключалась в том, что AVG проверял только то, был ли avg.com включен в исходную точку, что злоумышленники могли использовать, используя поддомены, включающие строку, например, avg.com.www.example.com.
Ответ Google дал понять, что на карту поставлено больше.
Ваш предложенный код не требует безопасного источника, то есть он разрешает // или // протоколы при проверке имени хоста. Из-за этого сетевой посредник может перенаправить пользователя на //attack.avg.com и предоставить javascript, который открывает вкладку для безопасного источника https, а затем внедрить в нее код. Это означает, что человек посередине может атаковать защищенные https-сайты, такие как GMail, Banking и т. Д.
Чтобы быть абсолютно ясным: это означает, что пользователи AVG отключили SSL.
Вторая попытка обновления AVG 21 декабря была принята Google, но Google пока отключила встроенные установки, поскольку расследовались возможные нарушения политики.
Заключительные слова
AVG подвергла риску миллионы пользователей Chrome и не смогла впервые поставить исправление, которое не решило проблему. Это довольно проблематично для компании, которая пытается защитить пользователей от угроз в Интернете и локально.
Было бы интересно посмотреть, насколько полезны или нет все эти расширения программного обеспечения для обеспечения безопасности, которые устанавливаются вместе с антивирусным программным обеспечением. Я не удивлюсь, если вернутся результаты, которые приносят больше вреда, чем приносят пользу пользователям.
Теперь вы : Какое антивирусное решение вы используете?
