Το AVG θέτει σε κίνδυνο εκατομμύρια χρήστες Chrome

Η εταιρεία ασφάλειας AVG, γνωστή για τα δωρεάν προϊόντα εμπορικής ασφάλειας που προσφέρουν ένα ευρύ φάσμα διασφαλίσεων και υπηρεσιών σχετικών με την ασφάλεια, έχει θέσει σε κίνδυνο εκατομμύρια χρήστες του Chrome πρόσφατα χάνοντας την ασφάλεια του Chrome βασικά σε μία από τις επεκτάσεις του για τον ιστό browser.

Το AVG, όπως και πολλές άλλες εταιρείες ασφάλειας που προσφέρουν δωρεάν προϊόντα, χρησιμοποιεί διαφορετικές στρατηγικές δημιουργίας εσόδων για να κερδίσει έσοδα από τις δωρεάν προσφορές.

Ένα μέρος της εξίσωσης καθιστά τους πελάτες να αναβαθμίσουν σε πληρωμένες εκδόσεις του AVG και για λίγο, αυτός ήταν ο μόνος τρόπος που λειτουργούσαν για εταιρείες όπως το AVG.

Η δωρεάν έκδοση λειτουργεί από μόνη της, αλλά χρησιμοποιείται για να διαφημίσει την πληρωμένη έκδοση που προσφέρει προηγμένες λειτουργίες όπως anti-spam ή ενισχυμένο τείχος προστασίας πάνω από αυτό.

Οι εταιρείες ασφάλειας άρχισαν να προσθέτουν και άλλες εισοδηματικές ροές στις δωρεάν προσφορές τους και ένας από τους σημαντικότερους πρόσφατα περιελάμβανε τη δημιουργία επεκτάσεων του προγράμματος περιήγησης και τη χειραγώγηση της προεπιλεγμένης μηχανής αναζήτησης, της αρχικής σελίδας και της νέας σελίδας καρτελών που συμβαδίζουν με αυτήν .

Οι πελάτες που εγκαθιστούν το λογισμικό AVG στον υπολογιστή τους παίρνουν στο τέλος μια προτροπή για να προστατεύσουν τα φυλλομετρητή τους. Ένα κλικ στο ok στη διασύνδεση εγκαθιστά το AVG Web TuneUp σε συμβατά προγράμματα περιήγησης με ελάχιστη αλληλεπίδραση χρηστών.

Η επέκταση έχει περισσότερους από 8 εκατομμύρια χρήστες σύμφωνα με το Chrome Web Store (σύμφωνα με τα στατιστικά στοιχεία της Google σχεδόν εννέα εκατομμύρια).

Με τον τρόπο αυτό, αλλάζει η αρχική σελίδα, η νέα καρτέλα και ο προεπιλεγμένος πάροχος αναζήτησης στο πρόγραμμα περιήγησης ιστού Chrome και Firefox, εάν είναι εγκατεστημένο στο σύστημα.

Η επέκταση που εγκαθίσταται απαιτεί οκτώ δικαιώματα, συμπεριλαμβανομένης της άδειας "ανάγνωσης και αλλαγής όλων των δεδομένων σε όλους τους ιστότοπους", "λήψης αρχείων", "επικοινωνίας με συνεργαζόμενες εφαρμογές", "διαχείρισης εφαρμογών, επεκτάσεων και θεμάτων" τις ρυθμίσεις αναζήτησης και την έναρξη της σελίδας σε μια προσαρμοσμένη σελίδα αναζήτησης AVG.

Το Chrome ειδοποιεί τις αλλαγές και θα ζητά από τους χρήστες να προσφέρουν επαναφορά των ρυθμίσεων στις προηγούμενες τιμές τους, αν δεν είχαν προβλεφθεί οι αλλαγές που πραγματοποιήθηκαν από την επέκταση.

Αρκετά προβλήματα προκύπτουν από την εγκατάσταση της επέκτασης, για παράδειγμα ότι αλλάζει τη ρύθμιση εκκίνησης σε "άνοιγμα συγκεκριμένης σελίδας" αγνοώντας την επιλογή των χρηστών (για παράδειγμα, για να συνεχίσει την τελευταία συνεδρία).

Εάν αυτό δεν είναι αρκετά κακό, είναι πολύ δύσκολο να τροποποιήσετε τις αλλαγμένες ρυθμίσεις χωρίς να απενεργοποιήσετε την επέκταση. Εάν ελέγξετε τις ρυθμίσεις του Chrome μετά την εγκατάσταση και ενεργοποίηση του AVG Web TuneUp, θα παρατηρήσετε ότι δεν μπορείτε πλέον να τροποποιήσετε την αρχική σελίδα, τις παραμέτρους εκκίνησης ή τους παρόχους αναζήτησης.

Ο κύριος λόγος για τον οποίο γίνονται αυτές οι αλλαγές είναι τα χρήματα, όχι η ασφάλεια των χρηστών. Το AVG κερδίζει όταν οι χρήστες πραγματοποιούν αναζητήσεις και κάνουν κλικ σε διαφημίσεις στην προσαρμοσμένη μηχανή αναζήτησης που έχουν δημιουργήσει.

Αν προσθέσετε σε αυτό ότι η εταιρεία ανακοίνωσε πρόσφατα σε μια ενημερωμένη έκδοση πολιτικής απορρήτου ότι θα συλλέξει και θα πουλήσει - μη αναγνωρίσιμα - δεδομένα χρήστη σε τρίτους, θα καταλήξετε με ένα τρομακτικό προϊόν από μόνο του.

Θέμα ασφαλείας

Ένας υπάλληλος της Google υπέβαλε μια αναφορά σφάλματος στις 15 Δεκεμβρίου, δηλώνοντας ότι το AVG Web TuneUp απενεργοποιούσε την ασφάλεια ιστού για εννέα εκατομμύρια χρήστες Chrome. Σε επιστολή του προς την AVG έγραψε:

Ζητώ συγγνώμη για τον σκληρό μου τόνο, αλλά δεν είμαι πραγματικά ενθουσιασμένος με αυτό το σκουπίδια που έχει εγκατασταθεί για χρήστες του Chrome. Η επέκταση είναι τόσο άθλια ώστε δεν είμαι σίγουρος αν θα έπρεπε να σας αναφέρω ως ευπάθεια ή να ζητήσετε από την ομάδα κατάχρησης επεκτάσεων να διερευνήσει εάν πρόκειται για ένα PuP.

Ωστόσο, η ανησυχία μου είναι ότι το λογισμικό ασφαλείας σας απενεργοποιεί την ασφάλεια ιστού για 9 εκατομμύρια χρήστες Chrome, προφανώς για να μπορείτε να καταλάβετε τις ρυθμίσεις αναζήτησης και τη νέα σελίδα καρτελών.

Υπάρχουν πολλές πιθανές επιθέσεις, για παράδειγμα, εδώ είναι ένα ασήμαντο γενικό xss στο API "πλοήγησης" που μπορεί να επιτρέψει σε οποιονδήποτε ιστότοπο να εκτελέσει σενάριο στο πλαίσιο άλλου τομέα. Για παράδειγμα, ο χρήστης attacker.com μπορεί να διαβάσει τα μηνύματα ηλεκτρονικού ταχυδρομείου από mail.google.com ή corp.avg.com ή οτιδήποτε άλλο.

Βασικά, η AVG θέτει σε κίνδυνο τους χρήστες του Chrome μέσω της επέκτασής του, η οποία υποτίθεται ότι θα κάνει την περιήγηση στο Διαδίκτυο ασφαλέστερη για τους χρήστες του Chrome.

Το AVG απάντησε με μια επισκευή αρκετές ημέρες αργότερα αλλά απορρίφθηκε, καθώς δεν επιλύει πλήρως το ζήτημα. Η εταιρεία προσπάθησε να περιορίσει την έκθεση, δεχόμενη μόνο αιτήματα, αν η προέλευση συμφωνεί με το avg.com.

Το πρόβλημα με την επιδιόρθωση ήταν ότι το AVG επαληθεύτηκε μόνο αν το avg.com συμπεριελήφθη στην προέλευση που θα μπορούσαν να εκμεταλλευτούν οι εισβολείς χρησιμοποιώντας υποτομείς που συμπεριέλαβαν τη συμβολοσειρά, π.χ. avg.com.www.example.com.

Η απάντηση της Google κατέστησε σαφές ότι υπήρχαν περισσότερα διακυβεύματα.

Ο προτεινόμενος κώδικας δεν απαιτεί ασφαλή προέλευση, αυτό σημαίνει ότι επιτρέπει // // ή // πρωτόκολλα κατά τον έλεγχο του ονόματος του κεντρικού υπολογιστή. Εξαιτίας αυτού, ένας άνθρωπος δικτύου στη μέση μπορεί να ανακατευθύνει έναν χρήστη στο //attack.avg.com και να παρέχει javascript που ανοίγει μια καρτέλα σε ασφαλή προέλευση https και έπειτα να εισάγει κώδικα σε αυτό. Αυτό σημαίνει ότι ένας άνθρωπος στη μέση μπορεί να επιτεθεί σε ασφαλείς ιστότοπους https όπως GMail, Banking κ.ο.κ.

Για να είμαστε απολύτως σαφείς: αυτό σημαίνει ότι οι χρήστες AVG έχουν απενεργοποιημένο SSL.

Η δεύτερη προσπάθεια ενημέρωσης της AVG στις 21 Δεκεμβρίου έγινε αποδεκτή από την Google, αλλά η Google απενεργοποίησε εγκαίρως εγκαταστάσεις, καθώς εξετάστηκαν πιθανές παραβιάσεις πολιτικής.

Λέξεις κλεισίματος

Το AVG έθεσε σε κίνδυνο εκατομμύρια χρήστες Chrome και απέτυχε να παραδώσει ένα κατάλληλο έμπλαστρο την πρώτη φορά που δεν επιλύει το πρόβλημα. Αυτό είναι αρκετά προβληματικό για μια εταιρεία που προσπαθεί να προστατεύσει τους χρήστες από απειλές στο Διαδίκτυο και σε τοπικό επίπεδο.

Θα ήταν ενδιαφέρον να δούμε πόσο επωφελής ή όχι, όλες αυτές οι επεκτάσεις λογισμικού ασφάλειας είναι εκείνες που εγκαθίστανται παράλληλα με λογισμικό προστασίας από ιούς. Δεν θα εκπλαγούσαμε αν τα αποτελέσματα επέστρεφαν ότι κάνουν περισσότερη ζημιά απ 'ότι παρέχουν χρήματα στους χρήστες.

Τώρα εσείς : Ποια λύση αντιμετώπισης ιών χρησιμοποιείτε;