Syarikat keselamatan AVG, yang terkenal dengan produk keselamatan bebas dan komersialnya yang menawarkan pelbagai perlindungan dan perkhidmatan berkaitan keselamatan, telah meletakkan berjuta-juta pengguna Chrome berisiko baru-baru ini dengan melanggar keselamatan Chrome dengan cara asas dalam salah satu pelanjutannya untuk web pelayar.
AVG, seperti banyak syarikat keselamatan lain yang menawarkan produk percuma, menggunakan strategi pengewangan yang berbeza untuk mendapatkan hasil daripada tawaran percuma.
Salah satu bahagian persamaan itu ialah untuk mendapatkan pelanggan untuk menaik taraf ke versi berbayar AVG dan untuk seketika, itulah satu-satunya cara yang bekerja untuk syarikat seperti AVG.
Versi percuma berfungsi dengan baik tetapi digunakan untuk mengiklankan versi berbayar yang menawarkan ciri-ciri canggih seperti anti-spam atau firewall yang dipertingkatkan di atasnya.
Syarikat-syarikat keselamatan mula menambah aliran pendapatan lain ke penawaran percuma mereka, dan salah satu yang paling menonjol dalam masa yang lalu melibatkan penciptaan sambungan penyemak imbas dan manipulasi enjin carian lalai penyemak imbas, laman utama dan halaman tab baharu yang bersama-sama dengannya .
Pelanggan yang memasang perisian AVG pada PC mereka mendapat cepat pada akhirnya untuk melindungi penyemak imbas mereka. Satu klik pada ok dalam antara muka memasang AVG Web TuneUp dalam pelayar yang serasi dengan interaksi pengguna yang minimum.
Pelanjutan ini mempunyai lebih dari 8 juta pengguna mengikut Kedai Web Chrome (menurut statistik sendiri Google hampir sembilan juta).
Melakukannya mengubah laman utama, halaman tab baharu dan pembekal carian lalai dalam pelayar web Chrome dan Firefox jika dipasang pada sistem.
Pelanjutan yang mendapat permintaan lapan lapan kebenaran termasuk kebenaran untuk "membaca dan mengubah semua data di semua laman web", "muat turun mange", "berkomunikasi dengan aplikasi asli yang bekerjasama", "mengurus aplikasi, sambungan dan tema", dan mengubah halaman rumah, tetapan carian dan halaman permulaan ke halaman carian AVG tersuai.
Chrome notis perubahan dan akan meminta pengguna yang menawarkan untuk mengembalikan tetapan ke nilai sebelumnya jika perubahan yang dibuat oleh pelanjutan itu tidak dimaksudkan.
Terdapat beberapa masalah yang timbul daripada memasang pelanjutan, contohnya ia mengubah tetapan permulaan untuk "membuka halaman tertentu" mengabaikan pilihan pengguna (contohnya untuk meneruskan sesi terakhir).
Jika itu tidak cukup buruk, agak sukar untuk mengubah tetapan yang berubah tanpa melumpuhkan sambungan. Jika anda menyemak tetapan Chrome selepas pemasangan dan pengaktifan AVG Web TuneUp, anda akan mendapati bahawa anda tidak boleh mengubah suai halaman rumah, memulakan parameter atau pembekal carian lagi.
Sebab utama mengapa perubahan ini dibuat adalah wang, bukan keselamatan pengguna. AVG memperoleh apabila pengguna membuat carian dan mengklik iklan pada enjin carian tersuai yang telah mereka buat.
Jika anda menambah ini bahawa syarikat mengumumkan baru-baru ini dalam kemas kini dasar privasi bahawa ia akan mengumpul dan menjual - tidak dapat dikenalpasti - data pengguna kepada pihak ketiga, anda mempunyai produk yang menakutkan dengan sendirinya.
Isu keselamatan
Seorang pekerja Google memfailkan laporan pepijat pada 15 Disember yang menyatakan bahawa AVG Web TuneUp telah melumpuhkan keselamatan web untuk sembilan juta pengguna Chrome. Dalam surat kepada AVG, dia menulis:
Memohon maaf atas nada saya yang teruk, tetapi saya tidak teruja tentang sampah ini yang dipasang untuk pengguna Chrome. Pelanjutannya sangat teruk sehingga saya tidak pasti sama ada saya harus melaporkannya kepada anda sebagai kelemahan, atau meminta pasukan penyalahgunaan pelanjutan untuk menyiasat jika ia adalah PuP.
Walau bagaimanapun, kebimbangan saya ialah perisian keselamatan anda mematikan keselamatan web untuk 9 juta pengguna Chrome, nampaknya supaya anda boleh merampas tetapan carian dan halaman tab baharu.
Terdapat pelbagai serangan jelas, contohnya, di sini adalah xss sejagat yang remeh dalam API "menavigasi" yang boleh membenarkan mana-mana laman web untuk melaksanakan skrip dalam konteks domain lain. Sebagai contoh, attacker.com boleh membaca e-mel dari mail.google.com, atau corp.avg.com, atau apa sahaja yang lain.
Secara asasnya, AVG meletakkan pengguna Chrome berisiko melalui pelanjutannya yang sepatutnya membuat pelayaran web lebih selamat untuk pengguna Chrome.
AVG bertindak balas dengan menetapkan beberapa hari kemudian tetapi ditolak kerana ia tidak menyelesaikan masalah sepenuhnya. Syarikat itu cuba untuk menghadkan pendedahan dengan hanya menerima permintaan jika asal sesuai dengan avg.com.
Masalah dengan penetapannya ialah AVG hanya disahkan jika avg.com dimasukkan ke dalam asal yang penyerang boleh mengeksploitasi dengan menggunakan subdomain yang menyertakan rentetan, contohnya avg.com.www.example.com.
Tanggapan Google menjelaskan bahawa terdapat lebih banyak yang dipertaruhkan.
Kod yang dicadangkan anda tidak memerlukan asal selamat, itu bermakna ia membenarkan // atau // protokol semasa menyemak nama hos. Kerana ini, seorang lelaki rangkaian di tengah boleh mengalihkan pengguna ke //attack.avg.com, dan membekalkan javascript yang membuka tab ke asal https selamat, dan kemudian menyuntik kod ke dalamnya. Ini bermakna seorang lelaki di tengah boleh menyerang laman https selamat seperti GMail, Perbankan, dan sebagainya.
Untuk menjadi jelas: ini bermakna pengguna AVG mempunyai SSL dilumpuhkan.
Percubaan kemaskini kedua AVG pada 21 Disember telah diterima oleh Google, namun Google tidak mematikan pemasangan sebaris untuk sementara waktu yang mungkin pelanggaran dasar diselidiki.
Kata penutupan
AVG meletakkan berjuta-juta pengguna Chrome berisiko, dan gagal menyampaikan patch yang sesuai buat kali pertama yang tidak menyelesaikan masalah itu. Itu agak bermasalah untuk syarikat yang cuba melindungi pengguna dari ancaman di Internet dan di dalam negara.
Ia akan menjadi menarik untuk melihat betapa bermanfaatnya, atau tidak, semua pelanjutan perisian keselamatan itu dipasang dengan perisian antivirus. Saya tidak akan terkejut jika hasilnya kembali bahawa mereka berbuat lebih banyak bahaya daripada menyediakan penggunaan kepada pengguna.
Sekarang Anda : Penyelesaian antivirus yang mana yang anda gunakan?
