AVG naraża miliony użytkowników Chrome

Firma AVG zajmująca się bezpieczeństwem, znana ze swoich bezpłatnych i komercyjnych produktów zabezpieczających, które oferują szeroką gamę zabezpieczeń i usług związanych z bezpieczeństwem, ostatnio naraziła miliony użytkowników Chrome na złamanie zabezpieczeń Chrome w fundamentalny sposób w jednym z rozszerzeń dla Internetu przeglądarka.

AVG, podobnie jak wiele innych firm zajmujących się bezpieczeństwem oferujących darmowe produkty, stosuje różne strategie monetyzacji, aby uzyskiwać przychody z bezpłatnych ofert.

Częścią tego równania jest zachęcenie klientów do przejścia na płatne wersje AVG i przez pewien czas był to jedyny sposób, w jaki działały takie firmy jak AVG.

Darmowa wersja działa sama z siebie dobrze, ale jest używana do reklamowania wersji płatnej, która oferuje zaawansowane funkcje, takie jak antyspam lub ulepszona zapora ogniowa.

Firmy zajmujące się bezpieczeństwem zaczęły dodawać inne strumienie przychodów do swoich bezpłatnych ofert, a jedna z najbardziej znanych w ostatnim czasie obejmowała tworzenie rozszerzeń przeglądarki i manipulowanie domyślną wyszukiwarką przeglądarki, stroną główną i nową kartą, która się z tym wiąże .

Klienci, którzy zainstalują oprogramowanie AVG na swoim komputerze, otrzymają w końcu monit o ochronę swoich przeglądarek. Kliknięcie OK w interfejsie instaluje AVG Web TuneUp w zgodnych przeglądarkach przy minimalnej interakcji użytkownika.

Rozszerzenie ma ponad 8 milionów użytkowników według Chrome Web Store (według własnych statystyk Google prawie dziewięć milionów).

W ten sposób zmienia się strona główna, strona nowej karty i domyślny dostawca wyszukiwania w przeglądarce internetowej Chrome i Firefox, jeśli jest zainstalowany w systemie.

Zainstalowane rozszerzenie wymaga ośmiu uprawnień, w tym uprawnienia do „odczytu i zmiany wszystkich danych we wszystkich witrynach”, „zarządzania pobieraniem”, „komunikowania się ze współpracującymi aplikacjami natywnymi”, „zarządzania aplikacjami, rozszerzeniami i motywami” oraz zmiany strony głównej, ustawienia wyszukiwania i strona startowa do niestandardowej strony wyszukiwania AVG.

Chrome zauważa zmiany i monituje użytkowników oferujących przywrócenie ustawień do ich poprzednich wartości, jeśli zmiany wprowadzone przez rozszerzenie nie były zamierzone.

Z instalacji rozszerzenia wynika kilka problemów, na przykład zmiana ustawienia uruchamiania na „otwieranie określonej strony”, ignorując wybór użytkownika (na przykład, aby kontynuować ostatnią sesję).

Jeśli to nie jest wystarczająco złe, dość trudno jest zmodyfikować zmienione ustawienia bez wyłączania rozszerzenia. Jeśli sprawdzisz ustawienia Chrome po instalacji i aktywacji AVG Web TuneUp, zauważysz, że nie możesz już modyfikować strony głównej, parametrów uruchamiania ani dostawców wyszukiwania.

Głównym powodem wprowadzenia tych zmian są pieniądze, a nie bezpieczeństwo użytkownika. AVG zarabia, gdy użytkownicy wyszukują i klikają reklamy w utworzonej przez siebie wyszukiwarce niestandardowej.

Jeśli dodasz do tego to, co firma ogłosiła niedawno w aktualizacji polityki prywatności, że będzie gromadzić i sprzedawać - nieidentyfikowalne - dane użytkowników stronom trzecim, sam skończysz z przerażającym produktem.

Problem bezpieczeństwa

Pracownik Google złożył raport o błędzie 15 grudnia, stwierdzając, że AVG Web TuneUp wyłącza zabezpieczenia internetowe dla dziewięciu milionów użytkowników Chrome. W liście do AVG napisał:

Przepraszam za mój ostry ton, ale tak naprawdę nie jestem zachwycony tym, że śmieci są instalowane dla użytkowników Chrome. Rozszerzenie jest tak bardzo zepsute, że nie jestem pewien, czy powinienem zgłosić go jako usterkę, czy też poprosić zespół zajmujący się nadużyciami rozszerzenia o sprawdzenie, czy jest to błąd PuP.

Niemniej jednak martwię się, że twoje oprogramowanie zabezpieczające wyłącza zabezpieczenia internetowe dla 9 milionów użytkowników Chrome, najwyraźniej po to, abyś mógł przejąć ustawienia wyszukiwania i stronę nowej karty.

Możliwe jest wiele oczywistych ataków, na przykład tutaj jest trywialny uniwersalny xss w interfejsie API „navigate”, który może pozwolić dowolnej witrynie na wykonanie skryptu w kontekście dowolnej innej domeny. Na przykład atakujący.com może czytać wiadomości e-mail z mail.google.com, corp.avg.com lub cokolwiek innego.

Zasadniczo AVG naraża użytkowników Chrome na ryzyko poprzez rozszerzenie, które rzekomo powinno uczynić przeglądanie Internetu bezpieczniejszym dla użytkowników Chrome.

System AVG odpowiedział poprawką kilka dni później, ale został odrzucony, ponieważ nie rozwiązał całkowicie problemu. Firma próbowała ograniczyć ekspozycję, akceptując żądania tylko, jeśli pochodzenie jest zgodne z avg.com.

Problem z tą poprawką polegał na tym, że AVG zweryfikował tylko, czy avg.com zostało uwzględnione w źródle, które atakujący mogliby wykorzystać przy użyciu poddomen zawierających ciąg, np. Avg.com.www.example.com.

W odpowiedzi Google wyraźnie stwierdzono, że stawką jest więcej.

Proponowany kod nie wymaga bezpiecznego źródła, co oznacza, że ​​zezwala na // lub // protokoły podczas sprawdzania nazwy hosta. Z tego powodu pośrednik sieciowy może przekierować użytkownika na //attack.avg.com i dostarczyć javascript, który otwiera kartę do bezpiecznego źródła https, a następnie wstrzyknąć do niego kod. Oznacza to, że mężczyzna w środku może atakować bezpieczne witryny https, takie jak GMail, bankowość itp.

Aby być absolutnie jasnym: oznacza to, że użytkownicy AVG mają wyłączoną obsługę SSL.

Druga próba aktualizacji AVG 21 grudnia została zaakceptowana przez Google, ale Google na razie wyłączył instalacje wbudowane, ponieważ możliwe było zbadanie naruszeń zasad.

Końcowe słowa

AVG naraził miliony użytkowników przeglądarki Chrome i po raz pierwszy nie dostarczył odpowiedniej poprawki, która nie rozwiązała problemu. Jest to dość problematyczne dla firmy, która próbuje chronić użytkowników przed zagrożeniami w Internecie i lokalnie.

Interesujące byłoby zobaczyć, jak korzystne są wszystkie rozszerzenia oprogramowania zabezpieczającego instalowane wraz z oprogramowaniem antywirusowym. Nie zdziwiłbym się, gdyby powróciły wyniki, które wyrządzają więcej szkody niż zapewniają użytkowanie użytkownikom.

Teraz ty : jakiego rozwiązania antywirusowego używasz?