AVG使数百万的Chrome用户面临风险
- 类别: 安全
安全公司AVG以其免费和商业安全产品而闻名,该产品提供各种与安全相关的防护措施和服务,最近通过以一种基本方式破坏了Chrome的安全性,在其网络扩展之一中使数百万Chrome用户面临风险浏览器。
与许多其他提供免费产品的安全公司一样,AVG正在使用不同的获利策略来从其免费产品中获取收入。
等式的一部分是让客户升级到AVG的付费版本,并且有一段时间,这是AVG等公司工作的唯一方式。
免费版本本身可以正常工作,但可用于宣传付费版本,该版本提供高级功能,例如反垃圾邮件或最高级的增强防火墙。
安全公司开始在其免费产品中增加其他收入来源,最近最突出的一项涉及创建浏览器扩展以及操纵浏览器的默认搜索引擎,首页和新标签页。 。
在其PC上安装AVG软件的客户最终会得到提示,以保护其浏览器。在界面中单击确定安装 AVG Web调优 在兼容的浏览器中,用户交互最少。
根据Chrome网上应用店的数据,该扩展程序拥有超过800万用户(根据Google自己的统计数据,该数字接近900万)。
这样做会更改系统中已安装的Chrome和Firefox Web浏览器中的主页,新标签页和默认搜索提供程序。
所安装的扩展程序要求八种权限,包括“读取和更改所有网站上的所有数据”,“管理下载”,“与合作的本机应用程序通信”,“管理应用程序,扩展程序和主题”以及更改主页的权限,搜索设置和开始页面到自定义AVG搜索页面。
Chrome会注意到这些更改,并会提示用户,如果不希望扩展程序进行更改,则会将设置恢复为以前的值。
安装扩展程序会产生很多问题,例如,它会将启动设置更改为“打开特定页面”而忽略了用户的选择(例如,继续上一个会话)。
如果这还不够糟糕,那么在不禁用扩展名的情况下很难修改已更改的设置。如果在安装和激活AVG Web TuneUp之后检查Chrome设置,则会注意到您无法再修改主页,启动参数或搜索提供程序。
进行这些更改的主要原因是金钱,而不是用户安全。当用户进行搜索并在他们创建的自定义搜索引擎上点击广告时,AVG就会赚钱。
如果添加 为此,该公司最近在一项隐私权政策更新中宣布,它将收集并出售(无法识别)用户数据给第三方,您最终会自己获得一个可怕的产品。
安全问题
一位Google员工 提起 12月15日的错误报告指出,AVG Web TuneUp正在为900万Chrome用户禁用网络安全。在给AVG的一封信中,他写道:
很抱歉,我很抱歉,但是对于为Chrome用户安装的垃圾桶,我真的不感到兴奋。该扩展程序严重损坏,以至于我不确定是否应该将其作为漏洞报告给您,还是不确定扩展程序滥用小组是否将其作为PuP。
不过,我担心的是,您的安全软件正在禁用900万Chrome用户的网络安全,显然您可以劫持搜索设置和新的标签页。
可能存在多种明显的攻击,例如,“ navigate” API中存在一个通用的xss,它可以允许任何网站在任何其他域的上下文中执行脚本。例如,attacker.com可以从mail.google.com或corp.avg.com或其他任何内容读取电子邮件。
基本上,AVG会通过其扩展程序使Chrome用户面临风险,这应该会使Chrome用户更安全地进行网络浏览。
几天后,AVG做出了回应,但未完全解决问题,因此被拒绝。该公司试图通过仅在来源匹配avg.com时才接受请求来限制曝光。
修复程序的问题在于AVG仅验证了avg.com是否包含在源中,攻击者可以通过使用包含字符串的子域来利用该源,例如avg.com.www.example.com。
Google的回应清楚地表明,还有更多的风险。
建议的代码不需要安全的来源,这意味着在检查主机名时,它允许使用http://或https://协议。因此,中间的网络管理员可以将用户重定向到http://attack.avg.com,并提供可以打开指向安全https来源标签的javascript,然后向其中注入代码。这意味着中间的人可以攻击安全的https站点,例如GMail,银行等。
绝对清楚:这意味着AVG用户已禁用SSL。
AVG于12月21日进行了第二次更新尝试,但已被Google接受,但Google确实暂时禁用了嵌入式安装,因为已对违反政策的情况进行了调查。
结束语
AVG使数百万的Chrome用户面临风险,并且首次未能提供适当的补丁程序无法解决该问题。对于一家试图保护用户免受Internet和本地威胁的公司而言,这是一个很大的问题。
有趣的是,与防病毒软件一起安装的所有这些安全软件扩展是否有益。如果结果回来了,那就是伤害大于提供给用户的使用,我不会感到惊讶。
现在轮到你 :您使用哪种防病毒解决方案?