AVG gefährdet Millionen von Chrome-Nutzern

• Kategorie: Sicherheit

Versuchen Sie Unser Instrument, Um Probleme Zu Beseitigen

Wählen Sie Das Betriebssystem Aus Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wählen Sie Ein Projektionsprogramm (Optional) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Beschreiben Sie Ihr Problem

Eine Antwort Bekommen

Senden Sie Mir Per E -Mail Auf Der Website Zeigen

Das Sicherheitsunternehmen AVG, das für seine kostenlosen und kommerziellen Sicherheitsprodukte bekannt ist, die eine breite Palette sicherheitsrelevanter Schutzmaßnahmen und Dienste bieten, hat in letzter Zeit Millionen von Chrome-Nutzern gefährdet, indem es die Chrome-Sicherheit in einer seiner Erweiterungen für das Web grundlegend verletzt hat Browser.

Wie viele andere Sicherheitsunternehmen, die kostenlose Produkte anbieten, verwendet AVG unterschiedliche Monetarisierungsstrategien, um mit seinen kostenlosen Angeboten Einnahmen zu erzielen.

Ein Teil der Gleichung besteht darin, Kunden dazu zu bringen, auf kostenpflichtige Versionen von AVG zu aktualisieren, und für eine Weile war dies die einzige Möglichkeit, wie Dinge für Unternehmen wie AVG funktionierten.

Die kostenlose Version funktioniert von sich aus einwandfrei, wird jedoch verwendet, um für die kostenpflichtige Version zu werben, die erweiterte Funktionen wie Anti-Spam oder eine erweiterte Firewall bietet.

Sicherheitsunternehmen haben begonnen, ihren kostenlosen Angeboten weitere Einnahmequellen hinzuzufügen, und eine der bekanntesten in der letzten Zeit war die Erstellung von Browsererweiterungen und die Manipulation der Standardsuchmaschine, der Startseite und der neuen Registerkarte des Browsers .

Kunden, die AVG-Software auf ihrem PC installieren, werden am Ende aufgefordert, ihre Browser zu schützen. Ein Klick auf OK in der Schnittstelle installiert AVG Web TuneUp in kompatiblen Browsern mit minimaler Benutzerinteraktion.

Die Erweiterung hat laut Chrome Web Store mehr als 8 Millionen Nutzer (laut Googles eigenen Statistiken fast neun Millionen).

Dadurch werden die Startseite, die neue Registerkarte und der Standardsuchanbieter im Chrome- und Firefox-Webbrowser geändert, sofern sie auf dem System installiert sind.

Die installierte Erweiterung erfordert acht Berechtigungen, einschließlich der Berechtigung zum 'Lesen und Ändern aller Daten auf allen Websites', 'Verwalten von Downloads', 'Kommunizieren mit kooperierenden nativen Anwendungen', 'Verwalten von Apps, Erweiterungen und Themen' und Ändern der Startseite. Sucheinstellungen und Startseite zu einer benutzerdefinierten AVG-Suchseite.

Chrome bemerkt die Änderungen und fordert Benutzer auf, die Einstellungen auf ihre vorherigen Werte zurückzusetzen, wenn die von der Erweiterung vorgenommenen Änderungen nicht beabsichtigt waren.

Bei der Installation der Erweiterung treten einige Probleme auf, z. B. dass die Starteinstellung so geändert wird, dass eine bestimmte Seite geöffnet wird, wobei die Auswahl des Benutzers ignoriert wird (z. B. um die letzte Sitzung fortzusetzen).

Wenn das nicht schlimm genug ist, ist es ziemlich schwierig, geänderte Einstellungen zu ändern, ohne die Erweiterung zu deaktivieren. Wenn Sie die Chrome-Einstellungen nach der Installation und Aktivierung von AVG Web TuneUp überprüfen, werden Sie feststellen, dass Sie die Startseite, Startparameter oder Suchanbieter nicht mehr ändern können.

Der Hauptgrund, warum diese Änderungen vorgenommen werden, ist Geld, nicht die Benutzersicherheit. AVG verdient, wenn Nutzer suchen und in der von ihnen erstellten benutzerdefinierten Suchmaschine auf Anzeigen klicken.

Wenn Sie hinzufügen Da das Unternehmen kürzlich in einem Update der Datenschutzrichtlinie angekündigt hat, dass es nicht identifizierbare Benutzerdaten sammelt und an Dritte verkauft, erhalten Sie ein beängstigendes Produkt für sich.

Sicherheitsproblem

Ein Google-Mitarbeiter abgelegt Ein Fehlerbericht vom 15. Dezember besagt, dass AVG Web TuneUp die Websicherheit für neun Millionen Chrome-Nutzer deaktiviert hat. In einem Brief an AVG schrieb er:

Entschuldigung für meinen harten Ton, aber ich bin wirklich nicht begeistert davon, dass dieser Papierkorb für Chrome-Nutzer installiert wird. Die Erweiterung ist so stark beschädigt, dass ich nicht sicher bin, ob ich sie Ihnen als Sicherheitslücke melden oder das Team für den Missbrauch von Erweiterungen bitten soll, zu untersuchen, ob es sich um ein PuP handelt.

Ich befürchte jedoch, dass Ihre Sicherheitssoftware die Websicherheit für 9 Millionen Chrome-Nutzer deaktiviert, anscheinend, damit Sie die Sucheinstellungen und die neue Registerkarte missbrauchen können.

Es sind mehrere offensichtliche Angriffe möglich. Hier ist beispielsweise ein triviales universelles xss in der Navigations-API, mit dem jede Website Skripts im Kontext einer anderen Domäne ausführen kann. Beispielsweise kann attacker.com E-Mails von mail.google.com oder corp.avg.com oder was auch immer lesen.

Grundsätzlich gefährdet AVG Chrome-Nutzer durch seine Erweiterung, die angeblich das Surfen im Internet für Chrome-Nutzer sicherer machen soll.

AVG antwortete einige Tage später mit einem Fix, der jedoch abgelehnt wurde, da das Problem nicht vollständig behoben wurde. Das Unternehmen versuchte, die Gefährdung zu begrenzen, indem es Anfragen nur akzeptierte, wenn der Ursprung mit avg.com übereinstimmt.

Das Problem mit dem Fix war, dass AVG nur überprüfte, ob avg.com im Ursprung enthalten war, den Angreifer ausnutzen konnten, indem sie Subdomains verwendeten, die die Zeichenfolge enthielten, z. avg.com.www.example.com.

Die Antwort von Google machte deutlich, dass mehr auf dem Spiel stand.

Ihr vorgeschlagener Code erfordert keinen sicheren Ursprung. Dies bedeutet, dass beim Überprüfen des Hostnamens die Protokolle http: // oder https: // zulässig sind. Aus diesem Grund kann ein Netzwerkmann in der Mitte einen Benutzer zu http://attack.avg.com umleiten und Javascript bereitstellen, das einen Tab zu einem sicheren https-Ursprung öffnet, und dann Code in diesen einfügen. Dies bedeutet, dass ein Mann in der Mitte sichere https-Sites wie GMail, Banking usw. angreifen kann.

Um ganz klar zu sein: Dies bedeutet, dass AVG-Benutzer SSL deaktiviert haben.

Der zweite Update-Versuch von AVG am 21. Dezember wurde von Google akzeptiert, aber Google hat Inline-Installationen vorerst deaktiviert, da mögliche Verstöße gegen Richtlinien untersucht wurden.

Schlussworte

AVG gefährdete Millionen von Chrome-Nutzern und lieferte beim ersten Mal keinen richtigen Patch, mit dem das Problem nicht behoben werden konnte. Dies ist ziemlich problematisch für ein Unternehmen, das versucht, Benutzer vor Bedrohungen im Internet und vor Ort zu schützen.

Es wäre interessant zu sehen, wie nützlich all diese Sicherheitssoftware-Erweiterungen sind oder nicht, die zusammen mit Antivirensoftware installiert werden. Es würde mich nicht wundern, wenn die Ergebnisse zurückkommen würden, dass sie mehr Schaden anrichten als den Nutzern Nutzen bringen.

Jetzt du : Welche Antivirenlösung verwenden Sie?