Το AVG Antivirus έσπασε την ασφάλεια του Chrome και η Google είναι εξοργισμένη γι 'αυτό

Το AVG Antivirus είναι μια δημοφιλής σουίτα ασφαλείας για περισσότερο από μια δεκαετία. Η εταιρεία διεκδικεί περισσότερες από 200 εκατομμύρια ενεργές συσκευές, συμπεριλαμβανομένων 100 εκατομμυρίων κινητών εγκαταστάσεων. Τα τελευταία χρόνια, η εταιρεία δέχτηκε ολοένα και μεγαλύτερη πυρά για την εγκατάσταση της γραμμής εργαλείων Ασφαλούς Αναζήτησης AVG χωρίς άδεια και ανακοινώνοντας ότι θα πουλούσε δεδομένα καταναλωτών σε διαφημιζόμενους. Τώρα, η εταιρεία μπορεί τελικά να έχει πάει πολύ μακριά, χάρη σε ένα τεράστιο σφάλμα στο λογισμικό AVG Web TuneUp που έσπασε ουσιαστικά την ασφάλεια για τους χρήστες του Google Chrome.

Η επέκταση AVG Web TuneUp

Στις 15 Δεκεμβρίου, ο ερευνητής της Ασφάλειας Google, Tavis Ormandy υπέβαλε αναφορά σφάλματος με AVG, σημειώνοντας ότι το λογισμικό:

«(Α) Προσφέρει πολλά API JavaScript σε χρώμιο, προφανώς έτσι ώστε να μπορούν να εισβάλλουν στις ρυθμίσεις αναζήτησης και στη σελίδα Νέα καρτέλα. Η διαδικασία εγκατάστασης είναι αρκετά περίπλοκη, ώστε να μπορούν να παρακάμψουν τους ελέγχους κακόβουλου λογισμικού Chrome, οι οποίοι προσπαθούν συγκεκριμένα να σταματήσουν την κατάχρηση του API επέκτασης. '

Ο Ormandy παρακολούθησε την αναφορά σφαλμάτων με ένα αυτο-περιγραφόμενο θυμωμένο email που στάλθηκε απευθείας στην AVG. Σε αυτό, ο Ormandy γράφει:

'Δεν είμαι πραγματικά ενθουσιασμένος με την εγκατάσταση αυτού του κάδου για χρήστες του Chrome. Η επέκταση είναι τόσο άσχημη που δεν είμαι σίγουρος αν θα πρέπει να την αναφέρω ως ευπάθεια ή να ζητήσω από την ομάδα κατάχρησης επέκτασης να διερευνήσει εάν είναι PuP (πιθανώς ανεπιθύμητο πρόγραμμα).

Ωστόσο, η ανησυχία μου είναι ότι το λογισμικό ασφαλείας σας απενεργοποιεί την ασφάλεια ιστού για 9 εκατομμύρια χρήστες του Chrome, προφανώς έτσι ώστε να μπορείτε να εισβάλλετε στις ρυθμίσεις αναζήτησης και στη σελίδα της νέας καρτέλας.

Υπάρχουν πολλές προφανείς επιθέσεις πιθανές, για παράδειγμα, εδώ είναι ένα ασήμαντο καθολικό xss στο API πλοήγησης που μπορεί να επιτρέψει σε οποιονδήποτε ιστότοπο να εκτελέσει σενάριο στο πλαίσιο οποιουδήποτε άλλου τομέα. ' (Τα σχετικά δείγματα κώδικα μπορούν να προβληθούν στην αρχική αναφορά σφαλμάτων.)

Η AVG κυκλοφόρησε ένα κατεστραμμένο patch για το πρόβλημα στις 19 Δεκεμβρίου, το οποίο η Google απέρριψε αμέσως. Η εταιρεία αναθεώρησε ξανά την ενημέρωσή της, αλλά από τις 28 Δεκεμβρίου, η Google εξετάζει την επέκταση για να καθορίσει εάν θα επιτρέπεται στην AVG να την προσφέρει καθόλου.

Μια ανασκόπηση των πιο πρόσφατων συγκρίσεων κατά των ιών στο AV-Συγκριτικά δείχνει το πρόγραμμα προστασίας από ιούς της AVG στην κορυφή του σωρού. Το ίδιο δεν μπορεί να ειπωθεί, ωστόσο, για το foistware που η εταιρεία ανέλαβε να πιέσει τους χρήστες της. Τα τελευταία χρόνια ξέσπασαν πολλές καταγγελίες χρηστών, τα περισσότερα από τα οποία λένε τα ίδια: το συμπληρωματικό λογισμικό της AVG - Web TuneUp, SafeSearch και παρόμοια - είναι καταστροφές ασφαλείας και αχαλίνωτα δεν τους άρεσε.

Το γεγονός ότι η εταιρεία θέλει τώρα να πουλήσει δεδομένα καταναλωτών (οι παραπάνω πληροφορίες προέρχονται από την ίδια την AVG) μπορεί να είναι το τελευταίο άχυρο για πολλούς χρήστες. Η AVG έχει ανταλλάξει πραγματική δέουσα επιμέλεια για να ωθήσει τους χρήστες προς προϊόντα που δεν λειτουργούν κατά την πώληση των δεδομένων της βάσης χρήστη του.