AVG mette a rischio milioni di utenti di Chrome

• Categoria: Sicurezza

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

L'azienda di sicurezza AVG, ben nota per i suoi prodotti di sicurezza gratuiti e commerciali che offrono un'ampia gamma di protezioni e servizi relativi alla sicurezza, ha recentemente messo a rischio milioni di utenti di Chrome violando la sicurezza di Chrome in modo fondamentale in una delle sue estensioni per il Web browser.

AVG, come molte altre società di sicurezza che offrono prodotti gratuiti, utilizza diverse strategie di monetizzazione per guadagnare dalle sue offerte gratuite.

Una parte dell'equazione consiste nel convincere i clienti a passare alle versioni a pagamento di AVG e per un po 'è stato l'unico modo in cui le cose hanno funzionato per aziende come AVG.

La versione gratuita funziona bene da sola, ma viene utilizzata per pubblicizzare la versione a pagamento che offre funzionalità avanzate come l'antispam o un firewall avanzato.

Le società di sicurezza hanno iniziato ad aggiungere altri flussi di entrate alle loro offerte gratuite e una delle più importanti negli ultimi tempi ha riguardato la creazione di estensioni del browser e la manipolazione del motore di ricerca predefinito del browser, della home page e della nuova scheda che lo accompagnano .

I clienti che installano il software AVG sul proprio PC ricevono alla fine una richiesta per proteggere i propri browser. Un clic su ok nell'interfaccia installa AVG Web TuneUp nei browser compatibili con un'interazione minima da parte dell'utente.

L'estensione ha più di 8 milioni di utenti secondo il Chrome Web Store (secondo le statistiche di Google quasi nove milioni).

In questo modo si modifica la pagina iniziale, la pagina della nuova scheda e il provider di ricerca predefinito nel browser Web Chrome e Firefox, se installato sul sistema.

L'estensione che viene installata richiede otto autorizzazioni, inclusa l'autorizzazione a 'leggere e modificare tutti i dati su tutti i siti Web', 'gestire i download', 'comunicare con applicazioni native cooperanti', 'gestire app, estensioni e temi' e modificare la home page, impostazioni di ricerca e pagina iniziale in una pagina di ricerca AVG personalizzata.

Chrome rileva le modifiche e chiederà agli utenti che si offrono di ripristinare le impostazioni ai valori precedenti se le modifiche apportate dall'estensione non erano previste.

Diversi problemi sorgono dall'installazione dell'estensione, ad esempio che cambia l'impostazione di avvio per 'aprire una pagina specifica' ignorando la scelta degli utenti (ad esempio per continuare l'ultima sessione).

Se ciò non è abbastanza grave, è abbastanza difficile modificare le impostazioni modificate senza disabilitare l'estensione. Se controlli le impostazioni di Chrome dopo l'installazione e l'attivazione di AVG Web TuneUp, noterai che non è più possibile modificare la home page, i parametri di avvio o i provider di ricerca.

Il motivo principale per cui vengono apportate queste modifiche è il denaro, non la sicurezza dell'utente. AVG guadagna quando gli utenti effettuano ricerche e fanno clic sugli annunci nel motore di ricerca personalizzato che hanno creato.

Se aggiungi a ciò che l'azienda ha annunciato di recente in un aggiornamento della politica sulla privacy che raccoglierà e venderà - non identificabili - i dati degli utenti a terze parti, si finisce con un prodotto spaventoso di per sé.

Problema di sicurezza

Un dipendente di Google archiviato un bug report del 15 dicembre in cui si afferma che AVG Web TuneUp disabilitava la sicurezza Web per nove milioni di utenti Chrome. In una lettera ad AVG ha scritto:

Mi scuso per il mio tono aspro, ma non sono davvero entusiasta dell'installazione di questo cestino per gli utenti di Chrome. L'estensione è così gravemente danneggiata che non sono sicuro se dovrei segnalarla a te come una vulnerabilità o chiedere al team di abusi delle estensioni di indagare se si tratta di un PuP.

Tuttavia, la mia preoccupazione è che il tuo software di sicurezza disabiliti la sicurezza web per 9 milioni di utenti Chrome, apparentemente in modo che tu possa dirottare le impostazioni di ricerca e la nuova pagina della scheda.

Ci sono più attacchi evidenti possibili, ad esempio, ecco un banale xss universale nell'API 'navigate' che può consentire a qualsiasi sito Web di eseguire script nel contesto di qualsiasi altro dominio. Ad esempio, attacker.com può leggere la posta da mail.google.com, corp.avg.com o qualsiasi altra cosa.

Bascamente, AVG sta mettendo a rischio gli utenti di Chrome attraverso la sua estensione che presumibilmente dovrebbe rendere la navigazione web più sicura per gli utenti di Chrome.

AVG ha risposto con una correzione diversi giorni dopo, ma è stata rifiutata poiché non ha risolto completamente il problema. L'azienda ha cercato di limitare l'esposizione accettando richieste solo se l'origine corrisponde a avg.com.

Il problema con la correzione era che AVG verificava solo se avg.com era incluso nell'origine che gli aggressori potevano sfruttare utilizzando sottodomini che includevano la stringa, ad es. avg.com.www.example.com.

La risposta di Google ha chiarito che la posta in gioco era di più.

Il codice proposto non richiede un'origine sicura, il che significa che consente i protocolli http: // o https: // durante il controllo del nome host. Per questo motivo, un uomo di rete nel mezzo può reindirizzare un utente a http://attack.avg.com e fornire javascript che apre una scheda a un'origine https sicura e quindi iniettare il codice in esso. Ciò significa che un uomo nel mezzo può attaccare siti https protetti come GMail, Banking e così via.

Per essere assolutamente chiari: ciò significa che gli utenti di AVG hanno SSL disabilitato.

Il secondo tentativo di aggiornamento di AVG il 21 dicembre è stato accettato da Google, ma Google ha disabilitato le installazioni in linea per il momento in quanto sono state indagate possibili violazioni delle norme.

Parole di chiusura

AVG ha messo a rischio milioni di utenti di Chrome e la prima volta non è riuscito a fornire una patch adeguata che non ha risolto il problema. Questo è abbastanza problematico per un'azienda che sta cercando di proteggere gli utenti dalle minacce su Internet e localmente.

Sarebbe interessante vedere quanto siano utili o meno tutte quelle estensioni del software di sicurezza che vengono installate insieme al software antivirus. Non sarei sorpreso se tornassero i risultati che fanno più male che fornire agli utenti.

Ora tu : Quale soluzione antivirus stai utilizzando?