AVG מסכן מיליוני משתמשי Chrome

• קטגוריה: בִּטָחוֹן

נסה את הכלי שלנו לביטול בעיות

בחר במערכת ההפעלה Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro בחר תוכנית השלכה (אופציונלית) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

תאר את הבעיה שלך

לקבל תשובה

שלח לי בדוא"ל הצג באתר

חברת האבטחה AVG, הידועה במוצרי האבטחה החינמיים והמסחריים שלה המציעים מגוון רחב של אמצעי אבטחה ושירותים הקשורים לאבטחה, העמידה מיליוני משתמשי Chrome בסיכון לאחרונה על ידי שבירת האבטחה של Chrome באופן בסיסי באחת התוספים שלה לרשת. דפדפן.

AVG, כמו חברות אבטחה רבות אחרות המציעות מוצרים בחינם, משתמשת באסטרטגיות מונטיזציה שונות בכדי להרוויח הכנסות מהיצעיה החינמיים.

חלק אחד מהמשוואה הוא לגרום ללקוחות לשדרג לגרסאות בתשלום של AVG ולזמן מה, זו הייתה הדרך היחידה שבה דברים עבדו עבור חברות כמו AVG.

הגרסה החינמית עובדת מעצמה, אך משמשת לפרסום הגרסה בתשלום המציעה תכונות מתקדמות כמו אנטי ספאם או חומת אש משופרת על גבי זה.

חברות אבטחה החלו להוסיף זרמי הכנסות נוספים למבצעים החינמיים שלהם, ואחד הבולטים בתקופה האחרונה כלל יצירת הרחבות דפדפן ומניפולציה של מנוע החיפוש המוגדר כברירת מחדל של הדפדפן, דף הבית ודף הכרטיסיות החדש שמלווה אותו. .

לקוחות שמתקינים תוכנת AVG במחשב האישי שלהם מקבלים בקשה בסוף להגן על הדפדפנים שלהם. לחיצה על אישור בהתקנות הממשק AVG Web TuneUp בדפדפנים תואמים עם אינטראקציה מינימלית עם משתמשים.

בתוסף יש יותר מ- 8 מיליון משתמשים על פי חנות האינטרנט של Chrome (על פי הנתונים הסטטיסטיים של גוגל כמעט תשעה מיליון).

פעולה זו משנה את דף הבית, דף הכרטיסייה החדש וספק חיפוש ברירת המחדל בדפדפן האינטרנט Chrome ו- Firefox אם מותקן במערכת.

התוסף שמתקין מבקש שמונה הרשאות כולל הרשאה 'לקרוא ולשנות את כל הנתונים בכל האתרים', 'הורדות רבות', 'לתקשר עם אפליקציות מקומיות המשתפות פעולה', 'ניהול אפליקציות, תוספים ועיצובים', ושינוי דף הבית, הגדרות חיפוש ודף התחלה לדף חיפוש מותאם אישית של AVG.

Chrome מבחין בשינויים ויבקש מהמשתמשים להציע לשחזר הגדרות לערכים הקודמים שלהם אם השינויים שבוצעו על ידי התוסף לא היו מיועדים.

לא מעט בעיות נובעות מהתקנת הסיומת, למשל שהיא משנה את הגדרת ההפעלה ל'פתיחת דף ספציפי 'תוך התעלמות מהבחירה של המשתמשים (למשל להמשך הפגישה האחרונה).

אם זה לא מספיק גרוע, קשה למדי לשנות את ההגדרות שהשתנו מבלי להשבית את התוסף. אם אתה בודק את הגדרות Chrome לאחר ההתקנה וההפעלה של AVG Web TuneUp, תבחין בכך שאתה לא יכול לשנות את דף הבית, הפעלת פרמטרים או ספקי חיפוש יותר.

הסיבה העיקרית לכך ששינויים אלה נעשים היא כסף, ולא אבטחת משתמשים. AVG מרוויח כאשר משתמשים מבצעים חיפושים ולחץ על מודעות במנוע החיפוש המותאם אישית שיצרו.

אם תוסיף לכך הודיעה החברה לאחרונה בעדכון מדיניות הפרטיות כי היא תאסוף ותמכור - נתוני משתמש - שאינם ניתנים לזיהוי - לצדדים שלישיים, אתה בסופו של דבר עם מוצר מפחיד בפני עצמו.

נושא אבטחה

עובד בגוגל שדה דו'ח באגים ב -15 בדצמבר בו נכתב כי AVG Web TuneUp השבית את האבטחה באינטרנט עבור תשעה מיליון משתמשי Chrome. במכתב ל- AVG הוא כתב:

מתנצל על הטון הקשה שלי, אבל אני ממש לא מתלהב מכך שהאשפה הזו מותקנת עבור משתמשי Chrome. התוסף שבור כל כך עד שאיני בטוח אם עלי לדווח לך עליו כפגיעות, או לבקש מצוות התעללות בהרחבה לחקור אם מדובר ב- PuP.

עם זאת הדאגה שלי היא שתוכנת האבטחה שלך מבטלת את אבטחת האינטרנט עבור 9 מיליון משתמשי Chrome, ככל הנראה כדי שתוכל לחטוף את הגדרות החיפוש ואת דף הכרטיסיות החדש.

ישנן מספר התקפות ברורות אפשריות, למשל, הנה xss אוניברסלי טריוויאלי בממשק ה- API 'לנווט' שיכול לאפשר לכל אתר לבצע סקריפט בהקשר של תחום אחר. לדוגמה, attacker.com יכול לקרוא דוא'ל מ- mail.google.com, או corp.avg.com, או כל דבר אחר.

באופן מהותי, AVG מסכנת את משתמשי Chrome באמצעות ההרחבה שלה, שכביכול אמורה להפוך את הגלישה באינטרנט לבטוחה יותר עבור משתמשי Chrome.

AVG הגיבה בתיקון מספר ימים לאחר מכן אך היא נדחתה מכיוון שהיא לא פתרה את הבעיה לחלוטין. החברה ניסתה להגביל את החשיפה על ידי קבלת בקשות רק אם המקור תואם את gemiddelde.com.

הבעיה עם התיקון הייתה ש- AVG אומת רק אם avg.com נכלל במקור שתוקפים יכולים לנצל באמצעות תת-דומיינים שכללו את המחרוזת, למשל. avg.com.www.example.com.

התגובה של גוגל הבהירה שיש יותר על הכף.

הקוד המוצע שלך אינו דורש מקור מאובטח, כלומר הוא מתיר פרוטוקולים http: // או https: // בעת בדיקת שם המארח. בגלל זה, איש רשת באמצע יכול להפנות משתמש אל http://attack.avg.com, ולספק javascript שפותח כרטיסייה שמקורו https מאובטח, ואז להזרים לתוכו קוד. המשמעות היא שגבר באמצע יכול לתקוף אתרי https מאובטחים כמו GMail, בנקאות וכן הלאה.

כדי להיות ברור לחלוטין: זה אומר שמשתמשים ב- AVG הושבתו SSL.

ניסיון העדכון השני של AVG ב- 21 בדצמבר התקבל על ידי גוגל, אך גוגל השביתה התקנות מוטבעות בינתיים מכיוון שנחקרו הפרות מדיניות.

מילות סגירה

AVG העמידה מיליוני משתמשי Chrome בסכנה ולא הצליחה לספק תיקון תקין בפעם הראשונה שלא פתר את הבעיה. זה די בעייתי עבור חברה שמנסה להגן על משתמשים מפני איומים באינטרנט ובאזור מקומי.

יהיה מעניין לראות עד כמה תוספי תוכנת האבטחה מועילים, או לא, שמתקינים לצד תוכנת אנטי-וירוס. לא אתפלא אם היו חוזרים לתוצאות שהם גורמים נזק רב יותר מאשר לספק שימוש למשתמשים.

עכשיו אתה : באיזה פתרון אנטי-וירוס אתה משתמש?