AVG met en danger des millions d'utilisateurs de Chrome

• Catégorie: Sécurité

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

La société de sécurité AVG, bien connue pour ses produits de sécurité gratuits et commerciaux qui offrent une large gamme de garanties et de services liés à la sécurité, a récemment mis des millions d'utilisateurs de Chrome en danger en brisant la sécurité de Chrome de manière fondamentale dans l'une de ses extensions pour le Web. navigateur.

AVG, comme de nombreuses autres sociétés de sécurité proposant des produits gratuits, utilise différentes stratégies de monétisation pour tirer des revenus de ses offres gratuites.

Une partie de l'équation consiste à amener les clients à passer à des versions payantes d'AVG et pendant un certain temps, c'était la seule façon dont les choses fonctionnaient pour des entreprises comme AVG.

La version gratuite fonctionne bien en elle-même, mais elle est utilisée pour annoncer la version payante qui offre des fonctionnalités avancées telles que l'anti-spam ou un pare-feu amélioré en plus de cela.

Les entreprises de sécurité ont commencé à ajouter d'autres sources de revenus à leurs offres gratuites, et l'une des plus importantes de ces derniers temps impliquait la création d'extensions de navigateur et la manipulation du moteur de recherche par défaut du navigateur, de la page d'accueil et du nouvel onglet qui l'accompagnait. .

Les clients qui installent le logiciel AVG sur leur PC reçoivent à la fin une invite pour protéger leur navigateur. Un clic sur ok dans l'interface installe AVG Web TuneUp dans les navigateurs compatibles avec une interaction utilisateur minimale.

L'extension compte plus de 8 millions d'utilisateurs selon le Chrome Web Store (selon les propres statistiques de Google, près de neuf millions).

Cela modifie la page d'accueil, le nouvel onglet et le moteur de recherche par défaut dans le navigateur Web Chrome et Firefox, s'il est installé sur le système.

L'extension qui est installée demande huit autorisations, y compris l'autorisation de `` lire et modifier toutes les données sur tous les sites Web '', de `` gérer les téléchargements '', de `` communiquer avec les applications natives coopérantes '', de `` gérer les applications, les extensions et les thèmes '' et de modifier la page d'accueil, paramètres de recherche et démarrer la page vers une page de recherche AVG personnalisée.

Chrome remarque les modifications et invite les utilisateurs proposant de restaurer les paramètres à leurs valeurs précédentes si les modifications apportées par l'extension n'étaient pas voulues.

De nombreux problèmes surviennent lors de l'installation de l'extension, par exemple le fait qu'elle modifie le paramètre de démarrage pour `` ouvrir une page spécifique '' en ignorant le choix des utilisateurs (par exemple, pour continuer la dernière session).

Si cela ne suffit pas, il est assez difficile de modifier les paramètres modifiés sans désactiver l'extension. Si vous vérifiez les paramètres de Chrome après l'installation et l'activation d'AVG Web TuneUp, vous remarquerez que vous ne pouvez plus modifier la page d'accueil, les paramètres de démarrage ou les fournisseurs de recherche.

La principale raison pour laquelle ces changements sont apportés est l'argent, pas la sécurité des utilisateurs. AVG gagne lorsque les utilisateurs effectuent des recherches et cliquent sur des annonces dans le moteur de recherche personnalisé qu'ils ont créé.

Si vous ajoutez à cela que la société a récemment annoncé dans une mise à jour de la politique de confidentialité qu'elle collectera et vendra des données utilisateur - non identifiables - à des tiers, vous vous retrouvez avec un produit effrayant en soi.

Problème de sécurité

Un employé de Google déposé un rapport de bogue le 15 décembre indiquant qu'AVG Web TuneUp désactivait la sécurité Web pour neuf millions d'utilisateurs de Chrome. Dans une lettre adressée à AVG, il a écrit:

Toutes mes excuses pour mon ton dur, mais je ne suis vraiment pas ravi de l'installation de cette poubelle pour les utilisateurs de Chrome. L'extension est tellement endommagée que je ne suis pas sûr si je devrais vous la signaler comme une vulnérabilité ou demander à l'équipe d'abus d'extensions d'enquêter sur s'il s'agit d'un PuP.

Néanmoins, ma préoccupation est que votre logiciel de sécurité désactive la sécurité Web pour 9 millions d'utilisateurs de Chrome, apparemment afin que vous puissiez détourner les paramètres de recherche et la nouvelle page à onglet.

Il y a plusieurs attaques évidentes possibles, par exemple, voici un xss universel trivial dans l'API 'navigation' qui peut permettre à n'importe quel site Web d'exécuter un script dans le contexte de n'importe quel autre domaine. Par exemple, attaquant.com peut lire les e-mails de mail.google.com, corp.avg.com, ou quoi que ce soit d'autre.

Fondamentalement, AVG met les utilisateurs de Chrome en danger grâce à son extension qui devrait soi-disant rendre la navigation Web plus sûre pour les utilisateurs de Chrome.

AVG a répondu avec un correctif plusieurs jours plus tard, mais il a été rejeté car il ne résolvait pas complètement le problème. La société a tenté de limiter l'exposition en n'acceptant les demandes que si l'origine correspond à avg.com.

Le problème avec le correctif était qu'AVG vérifiait uniquement si avg.com était inclus dans l'origine, ce que les attaquants pourraient exploiter en utilisant des sous-domaines contenant la chaîne, par exemple. avg.com.www.example.com.

La réponse de Google a clairement indiqué qu'il y avait plus en jeu.

Votre code proposé ne nécessite pas d'origine sécurisée, ce qui signifie qu'il autorise les protocoles http: // ou https: // lors de la vérification du nom d'hôte. Pour cette raison, un homme de réseau au milieu peut rediriger un utilisateur vers http://attack.avg.com et fournir du javascript qui ouvre un onglet vers une origine https sécurisée, puis y injecter du code. Cela signifie qu'un homme du milieu peut attaquer des sites https sécurisés tels que GMail, Banking, etc.

Pour être absolument clair: cela signifie que les utilisateurs d'AVG ont désactivé SSL.

La deuxième tentative de mise à jour d'AVG le 21 décembre a été acceptée par Google, mais Google a désactivé les installations en ligne pour le moment, car d'éventuelles violations des règles ont été étudiées.

Mots de clôture

AVG a mis en danger des millions d'utilisateurs de Chrome et n'a pas réussi à fournir un correctif approprié la première fois, ce qui n'a pas résolu le problème. C'est assez problématique pour une entreprise qui tente de protéger les utilisateurs contre les menaces sur Internet et localement.

Il serait intéressant de voir à quel point toutes ces extensions de logiciels de sécurité sont bénéfiques, ou non, qui sont installées avec un logiciel antivirus. Je ne serais pas surpris si les résultats revenaient qu'ils font plus de mal que de fournir une utilisation aux utilisateurs.

Maintenant, c'est à votre tour : Quelle solution antivirus utilisez-vous?