La società di sicurezza AVG, ben nota per i suoi prodotti di sicurezza gratuiti e commerciali che offrono una vasta gamma di garanzie e servizi relativi alla sicurezza, ha recentemente messo a rischio milioni di utenti di Chrome rompendo la sicurezza di Chrome in modo fondamentale in una delle sue estensioni per il web browser.
AVG, come molte altre società di sicurezza che offrono prodotti gratuiti, sta utilizzando diverse strategie di monetizzazione per guadagnare entrate dalle sue offerte gratuite.
Una parte dell'equazione sta spingendo i clienti a passare alle versioni a pagamento di AVG e per un po 'è stato l'unico modo in cui le cose hanno funzionato per aziende come AVG.
La versione gratuita funziona bene da sola, ma viene utilizzata per pubblicizzare la versione a pagamento che offre funzionalità avanzate come anti-spam o un firewall avanzato.
Le società di sicurezza hanno iniziato ad aggiungere altri flussi di entrate alle loro offerte gratuite e uno dei più importanti negli ultimi tempi ha riguardato la creazione di estensioni del browser e la manipolazione del motore di ricerca predefinito del browser, della home page e della nuova scheda che si accompagna ad esso .
I clienti che installano il software AVG sul proprio PC alla fine ricevono una richiesta di salvaguardia del proprio browser. Un clic su OK nell'interfaccia consente di installare AVG Web TuneUp in browser compatibili con un'interazione minima da parte dell'utente.
L'estensione ha più di 8 milioni di utenti secondo il Chrome Web Store (secondo le statistiche di Google quasi nove milioni).
In questo modo si modifica la home page, la nuova scheda e il provider di ricerca predefinito nel browser Chrome e Firefox se installato sul sistema.
L'estensione che viene installata richiede otto autorizzazioni, inclusa l'autorizzazione a "leggere e modificare tutti i dati su tutti i siti Web", "gestire i download", "comunicare con le applicazioni native cooperanti", "gestire app, estensioni e temi" e cambiare la home page, impostazioni di ricerca e pagina iniziale in una pagina di ricerca AVG personalizzata.
Chrome nota le modifiche e chiederà agli utenti che offrono di ripristinare le impostazioni ai valori precedenti se le modifiche apportate dall'estensione non erano previste.
Alcuni problemi sorgono dall'installazione dell'estensione, ad esempio che modifica l'impostazione di avvio in "apri una pagina specifica" ignorando la scelta degli utenti (ad esempio per continuare l'ultima sessione).
Se ciò non è abbastanza grave, è abbastanza difficile modificare le impostazioni modificate senza disabilitare l'estensione. Se si controllano le impostazioni di Chrome dopo l'installazione e l'attivazione di AVG Web TuneUp, si noterà che non è più possibile modificare la home page, avviare i parametri o cercare i provider.
Il motivo principale per cui vengono apportate queste modifiche è il denaro, non la sicurezza dell'utente. AVG guadagna quando gli utenti effettuano ricerche e fanno clic sugli annunci sul motore di ricerca personalizzato che hanno creato.
Se aggiungi a ciò che la società ha recentemente annunciato in un aggiornamento della politica sulla privacy che raccoglierà e venderà i dati dell'utente - non identificabili - a terzi, finirai con un prodotto spaventoso da solo.
Problema di sicurezza
Un dipendente di Google ha presentato una segnalazione di bug il 15 dicembre affermando che AVG Web TuneUp disabilitava la sicurezza Web per nove milioni di utenti Chrome. In una lettera ad AVG scrisse:
Mi scuso per il mio tono aspro, ma non sono davvero entusiasta del fatto che questo cestino venga installato per gli utenti di Chrome. L'estensione è così gravemente rotta che non sono sicuro se dovrei segnalarla come vulnerabilità o chiedere al team di abuso di estensione di indagare se si tratta di un PuP.
Tuttavia, la mia preoccupazione è che il tuo software di sicurezza stia disabilitando la sicurezza web per 9 milioni di utenti di Chrome, apparentemente in modo da poter dirottare le impostazioni di ricerca e la nuova scheda.
Esistono più attacchi evidenti possibili, ad esempio, ecco un banale xss universale nell'API "navigate" che può consentire a qualsiasi sito Web di eseguire script nel contesto di qualsiasi altro dominio. Ad esempio, attacker.com può leggere la posta elettronica da mail.google.com, corp.avg.com o qualsiasi altra cosa.
Stranamente, AVG sta mettendo a rischio gli utenti di Chrome attraverso la sua estensione, che presumibilmente dovrebbe rendere la navigazione web più sicura per gli utenti di Chrome.
AVG ha risposto con una correzione diversi giorni dopo, ma è stato rifiutato poiché non ha risolto completamente il problema. La società ha cercato di limitare l'esposizione accettando richieste solo se l'origine corrisponde a avg.com.
Il problema con la correzione era che AVG verificava solo se avg.com era incluso nell'origine che gli aggressori potevano sfruttare utilizzando sottodomini che includevano la stringa, ad esempio avg.com.www.esempio.com.
La risposta di Google ha chiarito che c'era in gioco di più.
Il codice proposto non richiede un'origine sicura, ciò significa che consente i protocolli // o // quando si controlla il nome host. Per questo motivo, un uomo di rete nel mezzo può reindirizzare un utente a //attack.avg.com e fornire javascript che apre una scheda a un'origine https sicura e quindi inserire il codice in esso. Ciò significa che un uomo nel mezzo può attaccare siti https sicuri come GMail, Banking e così via.
Per essere assolutamente chiari: questo significa che gli utenti AVG hanno disabilitato SSL.
Il secondo tentativo di aggiornamento di AVG del 21 dicembre è stato accettato da Google, ma Google ha disabilitato le installazioni in linea per il momento in quanto sono state esaminate possibili violazioni delle norme.
Parole di chiusura
AVG ha messo a rischio milioni di utenti di Chrome e la prima volta non è riuscito a fornire una patch adeguata che non ha risolto il problema. Questo è abbastanza problematico per un'azienda che sta cercando di proteggere gli utenti dalle minacce su Internet e localmente.
Sarebbe interessante vedere quanto siano utili o meno tutte quelle estensioni del software di sicurezza che vengono installate insieme al software antivirus. Non sarei sorpreso se i risultati tornassero che fanno più male che fornire agli utenti.
Ora tu : quale soluzione antivirus stai usando?
