Security-Unternehmen AVG, bekannt für seine freien und kommerziellen security-Produkte, bietet ein breites Spektrum von sicherheitsrelevanten Schutzmaßnahmen und-services, hat Millionen Chrome-Nutzer in Gefahr, die vor kurzem von breaking Chrome Sicherheit in einer grundlegenden Weise in eine Ihrer Erweiterungen für den web-browser.
AVG arbeitet, wie viele andere security-Unternehmen bieten Kostenlose Produkte, mit verschiedenen Vermarktungsstrategien verdienen Einnahmen aus den frei-Angebote.
Ein Teil der Gleichung sind, dass Kunden ein upgrade auf bezahlte Version von AVG, und für eine Weile war das auch der einzige Weg, die Dinge arbeitete für Unternehmen wie AVG.
Die Kostenlose version funktioniert gut auf seine eigene, aber wird verwendet, um Werbung für die bezahlte version bietet erweiterte Funktionen wie anti-spam oder eine erweiterte firewall.
Security Firmen haben noch andere Einnahmequellen, um Ihren kostenlosen angeboten, und eines der vornehmsten in der letzten Zeit war die Schaffung von browser-Erweiterungen und die manipulation des Browsers Standard-Suchmaschine, Homepage und neue Registerkarte, die entlang gehen mit ihm.
Kunden, die installieren Sie AVG-software auf Ihren PC bekommen, eine Eingabeaufforderung, in die Ende zu sichern Ihren Browser. Ein Klick auf ok in die Schnittstelle installiert AVG Web TuneUp in kompatiblen Browsern, die mit minimaler Benutzerinteraktion.
Die Erweiterung hat mehr als 8 Millionen Nutzer nach dem Chrome Web Store (laut Googles eigenen Statistiken knapp neun Millionen Euro).
Dabei ändert die Startseite, neue Registerkarte Seite und Standard-Suchanbieter in Chrome und Firefox web-browser, wenn auf dem system installiert.
Die Erweiterung, die installiert wird, fordert acht Berechtigungen, einschließlich der Berechtigung “Lesen und ändern alle Daten auf allen websites”, “mange downloads”, “kommunizieren mit zusammenarbeitenden systemeigenen Anwendungen”, “Verwaltung von apps, Erweiterungen und Designs”, und das ändern der Homepage, Sucheinstellungen und die Startseite, um eine benutzerdefinierte AVG search Seite.
Chrome merkt sich die änderungen und fordert die Benutzer bietet, um wiederherstellen von Einstellungen auf die vorherigen Werte, wenn die änderungen, die die Erweiterung nicht vorgesehen ist.
Durchaus ein paar Probleme ergeben sich aus der Installation der Erweiterung, zum Beispiel, es ändert sich die Start-Einstellung auf “öffnen eine bestimmte Seite” ignorieren die Benutzer Wahl (zum Beispiel zum fortsetzen der letzten session).
Wenn das nicht schlimm genug, ist es ziemlich schwierig zu ändern, die Einstellungen geändert, ohne die Deaktivierung der Erweiterung. Wenn Sie die Chrome-Einstellungen nach der installation und Aktivierung von AVG Web TuneUp, werden Sie feststellen, dass Sie können nicht ändern, Startseite, start Parameter oder suchen Anbieter mehr.
Der Hauptgrund, warum diese änderungen vorgenommen werden, ist Geld, nicht Benutzer-Sicherheit. AVG erhält, wenn Nutzer Suchanfragen und klicken Sie auf anzeigen, die auf die benutzerdefinierte Suchmaschine erstellt haben.
Wenn Sie hinzufügen, dass das Unternehmen vor kurzem angekündigt, in eine privacy policy zu aktualisieren, die es zu sammeln und zu verkaufen-nicht identifizierbaren-Benutzer-Daten an Dritte, die Sie am Ende mit einem beängstigend Produkt auf seine eigene.
Sicherheitsproblem
Ein Google-Mitarbeiter einen bug-report eingereicht am Dezember 15, die besagt, dass AVG Web TuneUp war das deaktivieren der web-Sicherheit für neun Millionen Chrome-Nutzer. In einem Brief an AVG schrieb er:
Entschuldigung für meinen harten Ton, aber ich bin wirklich nicht begeistert über diesen Müll installiert für Chrome-Nutzer. Die Erweiterung ist so kaputt, dass ich nicht sicher bin, ob ich sollte die Berichterstattung darüber, um Sie als eine Schwachstelle, oder fordern die Erweiterung Missbrauch-team, um zu untersuchen, ob es ein Welpe.
Dennoch, meine Sorge ist, dass Ihre Sicherheits-software deaktivieren von web-security für 9 Millionen Chrome-Nutzer, offenbar, so dass Sie hijack-Suche-Einstellungen und der neuen Registerkarte.
Es gibt mehrere offensichtliche Angriffe möglich, zum Beispiel, hier ist eine einfache universal-xss in der “navigieren” – API, kann damit jeder website das ausführen von Skript in den Kontext der anderen Domäne. Zum Beispiel, attacker.com kann E-Mail Lesen aus mail.google.com oder corp.avg.com oder was sonst.
Bascially, AVG setzt Chrome-Nutzer Gefahr, durch seine Ausdehnung, die angeblich machen sollte web-browsing sicherer für Chrome-Nutzer.
AVG reagiert mit einem Update einige Tage später, aber es wurde abgelehnt, da es nicht behoben das Problem vollständig. Das Unternehmen versucht, Begrenzung der Exposition durch nur Anfragen, wenn die Herkunft passt avg.com.
Das Problem mit dem Update war, dass AVG nur überprüft, wenn avg.com enthalten war in der Herkunft, die Angreifer ausnutzen konnte durch die Verwendung von subdomains enthalten, dass der string, z.B. avg.com.www.example.com.
Google ‘ s Antwort deutlich gemacht, dass es mehr auf dem Spiel.
Ihre vorgeschlagene code nicht erforderlich, einen sicheren Ursprungs, das bedeutet, dass es erlaubt http:// oder https:// Protokolle bei der überprüfung der hostname. Weil dieser, ein Netzwerk, in dem Menschen in der Mitte die Umleitung eines Benutzers zu http://attack.avg.com und eine Versorgung, die javascript-Code enthält, öffnet sich eine Registerkarte, um eine sichere https-Ursprung, und dann Spritzen Sie code in es. Dies bedeutet, dass ein Mann in der Mitte angreifen können sichere https-Seiten wie Google Mail, Banking, und so weiter.
Um absolut klar sein: dies bedeutet, dass AVG die Nutzer haben SSL deaktiviert.
AVG zweiten update-Versuch am Dezember 21, wurde von Google akzeptiert, aber Google hat deaktivieren Sie die inline-Anlagen für die Zeit, als mögliche Rechtsverletzungen untersucht wurden.
Schlusswort
AVG setzen Millionen Chrome-Nutzer in Gefahr, und nicht liefern einen ordentlichen patch das erste mal, das das Problem nicht beheben. Das ist sehr problematisch für ein Unternehmen, das versucht, zum Schutz der Anwender vor Bedrohungen aus dem Internet und lokal.
Es wäre interessant zu sehen, wie vorteilhaft oder nicht, all diese Sicherheits-software-Erweiterungen, die man installiert neben antivirus-software. Ich wäre nicht überrascht, wenn die Ergebnisse kamen zurück, dass Sie mehr Schaden anrichten, als nutzen für die Nutzer.
Jetzt Sie: Welche antivirus-Lösung verwenden Sie?