Turvallisuusyritys AVG, joka tunnetaan ilmaisista ja kaupallisista tietoturvatuotteistaan, jotka tarjoavat laajan valikoiman tietoturvaan liittyviä suojaustoimenpiteitä ja palveluita, on viime aikoina asettanut miljoonille Chromen käyttäjille riskin rikkomalla Chromen tietoturvaa perusteellisella tavalla yhdellä sen Web-laajennuksista selain.
AVG, kuten monet muut ilmaisia tuotteita tarjoavat tietoturvayritykset, käyttää erilaisia kaupallistamisstrategioita ansaitakseen tuloja ilmaisista tarjouksistaan.
Yksi osa yhtälöstä saa asiakkaita päivittämään maksettuihin AVG-versioihin ja vain jonkin aikaa asiat toimivat AVG: n kaltaisissa yrityksissä.
Ilmainen versio toimii itsessään hyvin, mutta sitä käytetään mainostamaan maksettua versiota, joka tarjoaa edistyneitä ominaisuuksia, kuten roskapostin esto tai parannetun palomuurin.
Turvayhtiöt alkoivat lisätä muita tulovirtoja ilmaiseen tarjontaansa, ja yksi viime aikojen näkyvimmistä liittyi selainlaajennusten luomiseen ja selaimen oletushakukoneen, kotisivun ja sen mukana tulevan uuden välilehden käsittelyyn. .
Asiakkaat, jotka asentavat AVG-ohjelmiston tietokoneelleen, kehottavat lopulta suojaamaan selaimensa. Napsauttamalla ok käyttöliittymässä asentaa AVG Web TuneUp yhteensopiviin selaimiin, joissa käyttäjän toiminta on vähäistä.
Chrome Web Storen mukaan laajennuksella on yli 8 miljoonaa käyttäjää (Googlen omien tilastojen mukaan lähes yhdeksän miljoonaa).
Näin muutat kotisivun, uuden välilehden ja oletushakutoimittajan Chromen ja Firefox-selaimessa, jos ne on asennettu järjestelmään.
Asennettava laajennus vaatii kahdeksan käyttöoikeutta, mukaan lukien luvan "lukea ja muuttaa kaikkien verkkosivustojen tietoja", "latausten lataaminen", "yhteydenpito yhteistyössä toimivien alkuperäisten sovellusten kanssa", "sovellusten, laajennusten ja teemojen hallinta" sekä kotisivun vaihtaminen, hakuasetukset ja aloitussivu mukautetulle AVG-hakusivulle.
Chrome huomauttaa muutokset ja kehottaa käyttäjiä, jotka tarjoavat palauttamaan asetukset aiempiin arvoihinsa, jos laajennuksen tekemiä muutoksia ei ole tarkoitettu.
Laajennuksen asentamisesta aiheutuu melko monia ongelmia, esimerkiksi se, että se muuttaa käynnistysasetuksen "avata tietty sivu" jättäen käyttäjien valinnan pois (esimerkiksi jatkamaan viimeistä istuntoa).
Jos tämä ei ole tarpeeksi huono, on melko vaikea muokata muutettuja asetuksia poistamatta laajennusta käytöstä. Jos tarkistat Chrome-asetukset AVG Web TuneUp -sovelluksen asennuksen ja aktivoinnin jälkeen, huomaat, että et voi enää muokata kotisivua, käynnistää parametreja tai etsiä palveluntarjoajia.
Tärkein syy muutoksiin on raha, ei käyttäjän turvallisuus. AVG ansaitsee, kun käyttäjät tekevät hakuja ja napsauttavat mainoksia luomassaan mukautetussa hakukoneessa.
Jos lisäät tähän, että yritys ilmoitti äskettäin tietosuojakäytäntöpäivityksessä, että se kerää ja myy - tunnistamattomia - käyttäjätietoja kolmansille osapuolille, päädyt pelottavaan tuotteeseen yksinään.
Turvallisuuskysymys
Google-työntekijä jätti virheraportin 15. joulukuuta väittäen, että AVG Web TuneUp poisti verkkoturvan yhdeksälle miljoonalle Chromen käyttäjälle. Kirjeessään AVG: lle hän kirjoitti:
Pahoittelen ankaraa ääniäni, mutta en todellakaan ole innoissani siitä, että tämä roskakori asennetaan Chromen käyttäjille. Laajennus on rikki niin pahasti, etten ole varma, pitäisikö minun ilmoittaa siitä sinulle haavoittuvuutena vai pyytää laajennuksen väärinkäyttäjätiimiä tutkimaan, onko kyseessä pu.
Olen kuitenkin huolissani siitä, että tietoturvaohjelmistosi poistaa Internet-tietoturvan 9 miljoonalta Chromen käyttäjältä, ilmeisesti siten, että voit kaapata hakuasetukset ja uuden välilehden sivun.
Useita ilmeisiä hyökkäyksiä on mahdollista, esimerkiksi tässä on "navigoida" -sovellusliittymässä triviaalinen universaali xss, joka voi antaa minkä tahansa verkkosivuston suorittaa skriptin minkä tahansa muun verkkotunnuksen yhteydessä. Esimerkiksi hyökkääjä.com voi lukea sähköpostia osoitteista mail.google.com tai corp.avg.com tai mistä tahansa muusta.
Pohjimmiltaan AVG asettaa Chromen käyttäjät vaaraan laajennuksensa avulla, jonka pitäisi väittää tekevän verkkoselaamisesta turvallisempaa Chromen käyttäjille.
AVG vastasi korjauksella useita päiviä myöhemmin, mutta se hylättiin, koska se ei ratkaissut ongelmaa kokonaan. Yhtiö yritti rajoittaa näkyvyyttä hyväksymällä vain pyynnöt, jos alkuperä vastaa avg.com-sivustoa.
Korjauksen ongelma oli, että AVG tarkisti vain, oliko avg.com sisällytetty alkuperäyn, jota hyökkääjät voivat hyödyntää käyttämällä merkkijonoa sisältäviä aliverkkotunnuksia, esim. Avg.com.www.example.com.
Googlen vastaus teki selväksi, että vaakalaudalla oli enemmän.
Ehdotettu koodi ei vaadi suojattua alkuperää, mikä tarkoittaa, että se sallii // tai // -protokollat tarkistettaessa isäntänimeä. Tämän takia keskellä oleva verkonmies voi ohjata käyttäjän osoitteeseen //attack.avg.com ja toimittaa javascriptin, joka avaa välilehden suojatulle https-alkuperälle, ja syöttää koodin siihen. Tämä tarkoittaa, että keskellä oleva ihminen voi hyökätä suojattuihin https-sivustoihin, kuten GMail, Banking ja niin edelleen.
Aivan selvästi: tämä tarkoittaa, että AVG-käyttäjillä on SSL poistettu käytöstä.
Google hyväksyi AVG: n toisen päivitysyrityksen 21. joulukuuta, mutta Google käytti inline-asennuksia käytöstä toistaiseksi, koska mahdollisia käytäntöjen rikkomuksia tutkittiin.
Päättävät sanat
AVG asetti miljoonille Chromen käyttäjille riskin eikä onnistunut toimittamaan kunnollista korjausta ensimmäisen kerran, mikä ei ratkaissut ongelmaa. Se on melko ongelmallista yritykselle, joka yrittää suojata käyttäjiä Internetin ja paikallisten uhkien varalta.
Olisi mielenkiintoista nähdä, kuinka hyödyllisiä tai ei ole kaikkia niitä tietoturvaohjelmistolaajennuksia, jotka asennetaan virustorjuntaohjelmien rinnalle. En olisi yllättynyt, jos tulokset palautuisivat siihen, että ne aiheuttavat enemmän haittaa kuin tarjoavat käyttäjille hyötyä.
Nyt sinä : mitä virustorjuntaratkaisua käytät?
