Beveiligingsfirma AVG, bekend om zijn gratis en commerciële beveiligingsproducten bieden een breed assortiment van aan veiligheid gerelateerde waarborgen en diensten, heeft miljoenen Chrome-gebruikers in gevaar onlangs door het breken van Chrome security op een fundamentele manier in één van de uitbreidingen voor de web browser.
AVG, net als vele andere beveiligings-bedrijven het aanbieden van gratis producten, is het gebruik van verschillende strategieën voor het genereren van inkomsten te verdienen aan het gratis aanbod.
Een deel van de vergelijking zijn het krijgen van klanten om te upgraden naar de betaalde versies van AVG en voor een tijdje , dat was de enige manier waarop de dingen werkte voor bedrijven als AVG.
De gratis versie werkt prima op zijn eigen, maar wordt gebruikt voor reclame voor de betaalde versie die is het aanbieden van geavanceerde functies zoals anti-spam of een verbeterde firewall op de top van dat.
Beveiliging bedrijven begonnen met het toevoegen van andere bronnen van inkomsten om hun gratis aanbod, en een van de meest prominente in de afgelopen tijd betrokken bij de oprichting van de browser-extensies en de manipulatie van de browser standaard zoekmachine, startpagina en de pagina ‘nieuw tabblad’ die samen gaan met het.
Klanten die AVG installeren van de software op hun PC krijgen een aanwijzing in het einde te waarborgen voor hun browsers. Een klik op de ok knop in de interface van AVG installeert Web-Optimalisatie in compatibele browsers met minimale interactie van de gebruiker.
De uitbreiding heeft meer dan 8 miljoen gebruikers volgens de Chrome Web Store (volgens Google ‘ s eigen statistieken bijna negen miljoen).
Hierdoor verandert de homepage, nieuw tabblad pagina en standaard zoekmachine in google Chrome en Firefox web browser als op het systeem is geïnstalleerd.
De extensie wordt geïnstalleerd verzoeken acht machtigingen waaronder de machtiging “lezen en wijzigen van alle gegevens op alle websites”, “mange downloads”, “communiceren met de samenwerking native applicaties”, “het beheren van apps, extensies en thema ‘s”, en het wijzigen van de startpagina, zoeken, instellingen en start pagina voor een aangepaste AVG search-pagina.
Chrome ziet de wijzigingen op, en vraagt gebruikers biedt om instellingen herstellen naar de vorige waarden als de veranderingen gemaakt door de verlenging waren het niet de bedoeling is.
Wel een paar problemen van het installeren van de extensie, bijvoorbeeld dat het verandert de startup-instelling op ‘open een specifieke pagina” het negeren van de gebruikers-keuze (bijvoorbeeld om te blijven van het laatste sessie).
Als dat niet erg genoeg is, is het heel moeilijk om de gewijzigde instellingen wijzigen zonder de extensie uit te schakelen. Als u de instellingen van Chrome na de installatie en activering van de AVG-Web-Optimalisatie, zult u merken dat u niet kunt wijzigen startpagina, start parameters of zoekmachines meer.
De belangrijkste reden waarom deze veranderingen gemaakt zijn, dat is geld, niet het gebied van de beveiliging. AVG verdient wanneer een gebruiker zoekt en klik op de advertenties op de engine voor google aangepast zoeken die ze hebben gemaakt.
Als je toevoegen aan deze die het bedrijf kondigde onlangs in een privacy policy update dat het verzamelen en verkopen — niet-identificeerbare — gegevens van de gebruiker aan derden, moet je eindigen met een enge product op zijn eigen.
Security probleem
Een Google-werknemer diende een bug rapport op 15 December met de melding dat AVG-Web-Afstelling was het uitschakelen van de veiligheid van het web voor negen miljoen Chrome-gebruikers. In een brief aan AVG hij schreef:
Excuses voor mijn harde toon, maar ik ben niet echt enthousiast over deze prullenbak wordt geïnstalleerd voor Chrome-gebruikers. De uitbreiding is zo slecht gebroken, dat ik niet zeker weet of ik het moet melden het u als kwetsbaarheid, of het stellen van de uitbreiding misbruik team is om te onderzoeken of het een PuP.
Toch, mijn zorg is dat uw security-software is het uitschakelen van de veiligheid van het web voor 9 miljoen Chrome-gebruikers, blijkbaar, zodat u kunt kapen zoeken instellingen en de pagina ‘nieuw tabblad’.
Er zijn meerdere voor de hand liggende aanvallen mogelijk, bijvoorbeeld, hier is een triviale universele xss in de “navigate” – API die kan toestaan dat een website uit te voeren script in de context van alle andere domein. Bijvoorbeeld, attacker.com het kunnen lezen van e-mail mail.google.com of corp.avg.com of wat anders.
Bascially, AVG doet Chrome-gebruikers in gevaar brengen door middel van de extensie die zogenaamd moet surfen op het web veiliger voor Chrome-gebruikers.
AVG geantwoord met een fix enkele dagen later werd echter afgewezen, omdat hij niet het oplossen van het probleem volledig. Het bedrijf probeerde om de blootstelling te beperken door alleen het accepteren van aanvragen als de oorsprong wedstrijden avg.com.
Het probleem met de oplossing was dat AVG alleen gecontroleerd als avg.com werd opgenomen in de oorsprong van die aanvallers konden benutten door het gebruik van subdomeinen, die ook de string, bijvoorbeeld avg.com.www.example.com.
Google ‘ s antwoord was het duidelijk dat er meer op het spel.
Uw code is niet nodig een veilige oorsprong, dat betekent dat de vergunningen http:// of https:// protocollen bij het controleren van de hostnaam. Vanwege dit, een netwerk man in het midden kan omleiden van een gebruiker te http://attack.avg.com en de levering javascript opent een tabblad naar een beveiligde https oorsprong, en vervolgens injecteren code in. Dit betekent dat een man in the middle aanvallen met een beveiligde https-sites zoals GMail, Banken, enzovoort.
Voor alle duidelijkheid: dit betekent dat gebruikers van AVG SSL uitgeschakeld.
AVG is de tweede update poging op 21 December werd aanvaard door Google, maar Google heeft uitschakelen inline-installaties voor de tijd wordt mogelijk een schending van het beleid onderzocht.
Slotwoord
AVG zet miljoenen van Chrome-gebruikers risico lopen, en niet in slaagde om een goede patch de eerste keer dat het probleem niet is opgelost. Dat is een heel probleem voor een bedrijf dat probeert om gebruikers te beschermen tegen bedreigingen op het Internet en lokaal.
Het zou interessant zijn om te zien hoe voordelig is, of niet, al die security-software extensies die geïnstalleerd naast antivirus software. Ik zou niet verrast worden als de resultaten kwam terug dat ze meer kwaad doen dan het bieden van gebruik aan de gebruikers.
Nu U: Welke antivirus oplossing gebruik je?