AVG ทำให้ผู้ใช้ Chrome หลายล้านคนตกอยู่ในความเสี่ยง

AVG บริษัท รักษาความปลอดภัยซึ่งเป็นที่รู้จักกันดีในเรื่องของผลิตภัณฑ์รักษาความปลอดภัยที่ให้บริการฟรีและเชิงพาณิชย์ที่นำเสนอการป้องกันและบริการที่เกี่ยวข้องกับความปลอดภัยที่หลากหลายทำให้ผู้ใช้ Chrome หลายล้านคนตกอยู่ในความเสี่ยงเมื่อไม่นานมานี้ เบราว์เซอร์

AVG เช่นเดียวกับ บริษัท รักษาความปลอดภัยอื่น ๆ ที่เสนอผลิตภัณฑ์ฟรีกำลังใช้กลยุทธ์การสร้างรายได้ที่แตกต่างกันเพื่อสร้างรายได้จากการให้บริการฟรี

ส่วนหนึ่งของสมการคือการให้ลูกค้าอัปเกรดเป็น AVG รุ่นจ่ายและชั่วขณะหนึ่งนั่นเป็นวิธีเดียวที่สิ่งต่าง ๆ ใช้ได้ผลกับ บริษัท เช่น AVG

รุ่นฟรีนั้นใช้งานได้ดี แต่มันถูกใช้เพื่อโฆษณารุ่นที่ต้องเสียเงินซึ่งเสนอคุณสมบัติขั้นสูงเช่นการป้องกันสแปมหรือไฟร์วอลล์ที่ปรับปรุงแล้วด้านบน

บริษัท รักษาความปลอดภัยเริ่มเพิ่มช่องทางรายได้อื่น ๆ ลงในข้อเสนอฟรีของพวกเขาและหนึ่งใน บริษัท ที่โดดเด่นที่สุดในช่วงเวลาที่ผ่านมานั้นเกี่ยวข้องกับการสร้างส่วนขยายเบราว์เซอร์และการจัดการเครื่องมือค้นหาเริ่มต้นของเบราว์เซอร์หน้าแรกและหน้าแท็บใหม่ .

ลูกค้าที่ติดตั้งซอฟต์แวร์ AVG บนพีซีจะได้รับพรอมต์ในที่สุดเพื่อปกป้องเบราว์เซอร์ของพวกเขา คลิกที่ตกลงในอินเทอร์เฟซการติดตั้ง AVG Web TuneUp ในเบราว์เซอร์ที่รองรับด้วยการโต้ตอบกับผู้ใช้น้อยที่สุด

ส่วนขยายนี้มีผู้ใช้มากกว่า 8 ล้านคนตาม Chrome เว็บสโตร์ (ตามสถิติของ Google เองเกือบเก้าล้าน)

การทำเช่นนั้นจะเปลี่ยนหน้าแรกหน้าแท็บใหม่และผู้ให้บริการการค้นหาเริ่มต้นใน Chrome และ Firefox เว็บเบราว์เซอร์หากติดตั้งบนระบบ

ส่วนขยายที่ได้รับการติดตั้งร้องขอสิทธิ์แปดประการรวมถึงสิทธิ์ในการ "อ่านและเปลี่ยนแปลงข้อมูลทั้งหมดในเว็บไซต์ทั้งหมด", "จัดการการดาวน์โหลด", "สื่อสารกับการร่วมมือกับแอปพลิเคชันเนทีฟ", "การจัดการแอปส่วนขยายและธีม" และการเปลี่ยนโฮมเพจ การตั้งค่าการค้นหาและหน้าเริ่มต้นไปยังหน้าการค้นหา AVG ที่กำหนดเอง

Chrome สังเกตเห็นการเปลี่ยนแปลงและจะแจ้งให้ผู้ใช้เสนอเพื่อคืนค่าการตั้งค่าเป็นค่าก่อนหน้าหากการเปลี่ยนแปลงที่ทำโดยส่วนขยายนั้นไม่ได้มีวัตถุประสงค์

มีปัญหาเล็กน้อยเกิดขึ้นจากการติดตั้งส่วนขยายตัวอย่างเช่นมันเปลี่ยนการตั้งค่าเริ่มต้นเป็น "เปิดหน้าเฉพาะ" โดยไม่สนใจตัวเลือกของผู้ใช้ (ตัวอย่างเช่นเพื่อดำเนินการเซสชันล่าสุดต่อไป)

หากยังไม่ดีพอก็เป็นการยากที่จะแก้ไขการตั้งค่าที่เปลี่ยนแปลงโดยไม่ต้องปิดการใช้งานส่วนขยาย หากคุณตรวจสอบการตั้งค่า Chrome หลังจากการติดตั้งและเปิดใช้งาน AVG Web TuneUp คุณจะสังเกตเห็นว่าคุณไม่สามารถแก้ไขหน้าแรกเริ่มพารามิเตอร์หรือค้นหาผู้ให้บริการอีกต่อไป

สาเหตุหลักที่ทำให้การเปลี่ยนแปลงเหล่านี้คือเงินไม่ใช่ความปลอดภัยของผู้ใช้ AVG สร้างรายได้เมื่อผู้ใช้ทำการค้นหาและคลิกโฆษณาในเครื่องมือค้นหาที่กำหนดเองที่พวกเขาสร้างขึ้น

หากคุณเพิ่มลงในสิ่งนี้ที่ บริษัท ประกาศเมื่อเร็ว ๆ นี้ในการปรับปรุงนโยบายความเป็นส่วนตัวว่า บริษัท จะรวบรวมและขาย - ข้อมูลที่ไม่สามารถระบุตัวตนของผู้ใช้ไปยังบุคคลที่สามได้

ปัญหาด้านความปลอดภัย

พนักงาน Google ได้ยื่นรายงานข้อผิดพลาดเมื่อวันที่ 15 ธันวาคมโดยระบุว่า AVG Web TuneUp ปิดการใช้งานความปลอดภัยของเว็บสำหรับผู้ใช้ Chrome เก้าล้านคน ในจดหมายถึง AVG เขาเขียนว่า:

ขอโทษด้วยน้ำเสียงหนักหน่วงของฉัน แต่ฉันไม่ได้ตื่นเต้นกับการติดตั้งถังขยะนี้สำหรับผู้ใช้ Chrome ส่วนขยายนั้นเสียอย่างมากซึ่งฉันไม่แน่ใจว่าฉันควรรายงานให้คุณทราบว่าเป็นช่องโหว่หรือขอให้ทีมตรวจสอบส่วนขยายได้ทำการตรวจสอบว่าเป็น PuP หรือไม่

อย่างไรก็ตามข้อกังวลของฉันคือซอฟต์แวร์ความปลอดภัยของคุณปิดใช้งานความปลอดภัยของเว็บสำหรับผู้ใช้ Chrome 9 ล้านคนซึ่งเห็นได้ชัดว่าคุณสามารถจี้การตั้งค่าการค้นหาและหน้าแท็บใหม่ได้

ตัวอย่างเช่นมีการโจมตีที่เห็นได้ชัดหลายประการเช่นนี่คือ Universal xss ขนาดเล็กใน API "นำทาง" ที่สามารถอนุญาตให้เว็บไซต์ใด ๆ สามารถเรียกใช้สคริปต์ในบริบทของโดเมนอื่น ๆ ตัวอย่างเช่น attacker.com สามารถอ่านอีเมลจาก mail.google.com หรือ corp.avg.com หรืออะไรก็ได้

โดยพื้นฐานแล้ว AVG ทำให้ผู้ใช้ Chrome มีความเสี่ยงผ่านส่วนขยายซึ่งควรจะทำให้การท่องเว็บปลอดภัยยิ่งขึ้นสำหรับผู้ใช้ Chrome

AVG ตอบกลับพร้อมการแก้ไขหลายวันต่อมา แต่ถูกปฏิเสธเนื่องจากไม่สามารถแก้ไขปัญหาได้อย่างสมบูรณ์ บริษัท พยายาม จำกัด การเปิดเผยโดยรับคำขอเฉพาะในกรณีที่ต้นกำเนิดตรงกับ avg.com

ปัญหาที่เกิดขึ้นจากการแก้ไขคือ AVG ทำการตรวจสอบหาก avg.com รวมอยู่ในแหล่งกำเนิดซึ่งผู้โจมตีสามารถใช้ประโยชน์จากการใช้โดเมนย่อยที่มีสตริงเช่น avg.com.www.example.com

คำตอบของ Google ทำให้ชัดเจนว่ามีความเสี่ยงมากขึ้น

รหัสที่เสนอของคุณไม่จำเป็นต้องมีแหล่งกำเนิดที่ปลอดภัยนั่นหมายความว่าอนุญาตให้ใช้โปรโตคอล // หรือ // เมื่อตรวจสอบชื่อโฮสต์ ด้วยเหตุนี้ผู้ดูแลระบบเครือข่ายที่อยู่ตรงกลางสามารถเปลี่ยนเส้นทางผู้ใช้ไปยัง //attack.avg.com และจัดหาจาวาสคริปต์ที่เปิดแท็บไปยังต้นกำเนิด https ที่ปลอดภัยและจากนั้นฉีดโค้ดลงในนั้น ซึ่งหมายความว่าผู้ชายที่อยู่ตรงกลางสามารถโจมตีเว็บไซต์ https ที่ปลอดภัยเช่น GMail, Banking และอื่น ๆ

เพื่อความชัดเจน: หมายความว่าผู้ใช้ AVG ปิดการใช้งาน SSL

Google ยอมรับความพยายามในการอัปเดตครั้งที่สองในวันที่ 21 ธันวาคม แต่ Google ได้ปิดใช้งานการติดตั้งแบบอินไลน์ในเวลาที่อาจมีการสอบสวนการละเมิดนโยบาย

ปิดคำ

AVG ทำให้ผู้ใช้ Chrome หลายล้านคนตกอยู่ในความเสี่ยงและไม่สามารถส่ง patch ที่เหมาะสมในครั้งแรกซึ่งไม่สามารถแก้ไขปัญหาได้ นี่เป็นปัญหาสำหรับ บริษัท ที่พยายามปกป้องผู้ใช้จากภัยคุกคามบนอินเทอร์เน็ตและในพื้นที่

มันน่าสนใจที่จะเห็นว่ามีประโยชน์หรือไม่ส่วนขยายของซอฟต์แวร์รักษาความปลอดภัยทั้งหมดนั้นติดตั้งพร้อมกับซอฟต์แวร์ป้องกันไวรัส ฉันจะไม่แปลกใจถ้าผลลัพธ์กลับมาว่าพวกเขาทำอันตรายมากกว่าให้ใช้กับผู้ใช้

ตอนนี้คุณ : คุณใช้โซลูชันป้องกันไวรัสชนิดใด?