AVG milyonlarca Chrome kullanıcısını riske atıyor
- Kategori: Güvenlik
Güvenlikle ilgili çok çeşitli koruma önlemleri ve hizmetler sunan ücretsiz ve ticari güvenlik ürünleriyle tanınan güvenlik şirketi AVG, son zamanlarda Chrome güvenliğini web uzantılarından birinde temel bir şekilde kırarak milyonlarca Chrome kullanıcısını riske attı. tarayıcı.
AVG, ücretsiz ürünler sunan diğer birçok güvenlik şirketi gibi, ücretsiz tekliflerinden gelir elde etmek için farklı para kazanma stratejileri kullanıyor.
Denklemin bir parçası, müşterilerin AVG'nin ücretli sürümlerine yükseltmesini sağlamak ve bir süreliğine AVG gibi şirketler için işlerin tek yoluydu.
Ücretsiz sürüm kendi başına iyi çalışıyor, ancak anti-spam veya bunun üzerine gelişmiş bir güvenlik duvarı gibi gelişmiş özellikler sunan ücretli sürümün reklamını yapmak için kullanılıyor.
Güvenlik şirketleri, ücretsiz tekliflerine başka gelir akışları eklemeye başladılar ve son zamanlarda en öne çıkanlarından biri, tarayıcı uzantılarının oluşturulması ve tarayıcının varsayılan arama motorunun, ana sayfasının ve bununla birlikte gelen yeni sekme sayfasının değiştirilmesiydi. .
Bilgisayarlarına AVG yazılımını yükleyen müşteriler, sonunda tarayıcılarını korumak için bir uyarı alır. Arayüz kurulumlarında tamam'a bir tıklama AVG Web TuneUp minimum kullanıcı etkileşimi ile uyumlu tarayıcılarda.
Uzantının, Chrome Web Mağazası'na göre 8 milyondan fazla kullanıcısı var (Google'ın kendi istatistiklerine göre yaklaşık dokuz milyon).
Bunu yapmak, sisteme yüklenmişse Chrome ve Firefox web tarayıcısındaki ana sayfayı, yeni sekme sayfasını ve varsayılan arama sağlayıcısını değiştirir.
Yüklenen uzantı, 'tüm web sitelerindeki tüm verileri okuma ve değiştirme', 'indirmeleri yönetme', 'işbirliği yapan yerel uygulamalarla iletişim kurma', 'uygulamaları, uzantıları ve temaları yönetme' ve ana sayfayı değiştirme izni dahil olmak üzere sekiz izin ister. arama ayarları ve başlangıç sayfasını özel bir AVG arama sayfasına yönlendirin.
Chrome değişiklikleri fark eder ve uzantı tarafından yapılan değişiklikler amaçlanmadıysa, kullanıcılardan ayarları önceki değerlerine geri yüklemelerini teklif eder.
Uzantının yüklenmesinden birkaç sorun ortaya çıkar, örneğin başlangıç ayarını, kullanıcının seçimini yok sayarak (örneğin son oturuma devam etmek için) 'belirli bir sayfayı aç' olarak değiştirmesi.
Bu yeterince kötü değilse, uzantıyı devre dışı bırakmadan değiştirilen ayarları değiştirmek oldukça zordur. AVG Web TuneUp'ı yükledikten ve etkinleştirdikten sonra Chrome ayarlarını kontrol ederseniz, ana sayfayı, başlatma parametreleri veya arama sağlayıcılarını artık değiştiremeyeceğinizi fark edeceksiniz.
Bu değişikliklerin yapılmasının ana nedeni kullanıcı güvenliği değil paradır. AVG, kullanıcılar oluşturdukları özel arama motorunda arama yaptığında ve reklamları tıkladığında kazanır.
Eklersen Buna, şirketin kısa süre önce bir gizlilik politikası güncellemesinde - tanımlanamayan - kullanıcı verilerini toplayıp üçüncü şahıslara satacağını duyurması, kendi başına korkunç bir ürünle sonuçlanır.
Güvenlik sorunu
Bir Google çalışanı dosyalanmış 15 Aralık'ta AVG Web TuneUp'ın dokuz milyon Chrome kullanıcısı için web güvenliğini devre dışı bıraktığını belirten bir hata raporu. AVG'ye yazdığı bir mektupta şunları yazdı:
Sert üslubum için özür dilerim, ancak bu çöp kutusunun Chrome kullanıcıları için yüklenmesi beni gerçekten heyecanlandırmıyor. Uzantı o kadar bozuk ki, bunu size bir güvenlik açığı olarak mı bildirmeli yoksa uzantı kötüye kullanım ekibinden bir PuP olup olmadığını araştırmasını mı istemem gerektiğinden emin değilim.
Yine de, benim endişem, görünüşe göre arama ayarlarını ve yeni sekme sayfasını ele geçirebilmeniz için güvenlik yazılımınızın 9 milyon Chrome kullanıcısı için web güvenliğini devre dışı bırakmasıdır.
Olası çok sayıda açık saldırı vardır, örneğin, burada 'navigate' API'sinde herhangi bir web sitesinin başka herhangi bir etki alanı bağlamında komut dosyası yürütmesine izin verebilecek önemsiz bir evrensel xss var. Örneğin, saldırgan.com mail.google.com veya corp.avg.com'dan veya başka herhangi bir yerden e-posta okuyabilir.
Temel olarak AVG, Chrome kullanıcıları için web'de gezinmeyi daha güvenli hale getirmesi gereken uzantısıyla Chrome kullanıcılarını riske atıyor.
AVG birkaç gün sonra bir düzeltme ile yanıt verdi, ancak sorunu tamamen çözmediği için reddedildi. Şirket, yalnızca kaynağı avg.com ile eşleşiyorsa istekleri kabul ederek maruziyeti sınırlandırmaya çalıştı.
Düzeltmeyle ilgili sorun, AVG'nin yalnızca avg.com'un, saldırganların dizeyi içeren alt etki alanlarını kullanarak yararlanabilecekleri kaynağa dahil olup olmadığını doğrulamasıydı. avg.com.www.example.com.
Google'ın yanıtı, daha fazlasının tehlikede olduğunu açıkça ortaya koydu.
Önerilen kodunuz güvenli bir kaynak gerektirmez, yani ana makine adını kontrol ederken http: // veya https: // protokollerine izin verir. Bu nedenle, ortadaki bir ağ adamı, bir kullanıcıyı http://attack.avg.com adresine yeniden yönlendirebilir ve güvenli bir https kaynağına bir sekme açan bir javascript sağlayabilir ve ardından ona kod enjekte edebilir. Bu, ortadaki bir adamın GMail, Bankacılık vb. Gibi güvenli https sitelerine saldırabileceği anlamına gelir.
Kesinlikle açık olmak gerekirse: bu, AVG kullanıcılarının SSL'nin devre dışı bırakıldığı anlamına gelir.
AVG'nin 21 Aralık'taki ikinci güncelleme denemesi Google tarafından kabul edildi, ancak Google, olası politika ihlalleri araştırıldığı için şimdilik satır içi yüklemeleri devre dışı bıraktı.
Kapanış Sözleri
AVG, milyonlarca Chrome kullanıcısını riske attı ve ilk seferinde sorunu çözmeyen düzgün bir yama sağlayamadı. Bu, kullanıcıları internette ve yerel olarak tehditlerden korumaya çalışan bir şirket için oldukça sorunlu.
Tüm bu güvenlik yazılımı uzantılarının antivirüs yazılımı ile birlikte kurulmasının ne kadar yararlı olup olmadığını görmek ilginç olurdu. Sonuçlar, kullanıcılara kullanım sağlamaktan daha fazla zarar verdiklerini söylerse şaşırmam.
Şimdi sen : Hangi antivirüs çözümünü kullanıyorsunuz?