AVG colocando milhões de usuários do Chrome em risco

Experimente Nosso Instrumento Para Eliminar Problemas

A empresa de segurança AVG, bem conhecida por seus produtos de segurança gratuitos e comerciais que oferecem uma ampla gama de proteções e serviços relacionados à segurança, colocou milhões de usuários do Chrome em risco recentemente ao quebrar a segurança do Chrome de uma forma fundamental em uma de suas extensões para a web navegador.

A AVG, como muitas outras empresas de segurança que oferecem produtos gratuitos, está usando diferentes estratégias de monetização para obter receita com suas ofertas gratuitas.

Uma parte da equação é fazer com que os clientes atualizem para versões pagas do AVG e, por um tempo, essa foi a única maneira que as coisas funcionaram para empresas como a AVG.

A versão gratuita funciona bem por si só, mas está sendo usada para anunciar a versão paga que oferece recursos avançados, como anti-spam ou um firewall aprimorado além disso.

avg web tuneup

As empresas de segurança começaram a adicionar outras fontes de receita às suas ofertas gratuitas, e uma das mais proeminentes nos últimos tempos envolveu a criação de extensões do navegador e a manipulação do mecanismo de pesquisa padrão do navegador, da página inicial e da página de uma nova guia que a acompanha .

Os clientes que instalam o software AVG em seus PCs recebem uma solicitação no final para proteger seus navegadores. Um clique em ok na interface instala AVG Web TuneUp em navegadores compatíveis com interação mínima do usuário.

A extensão tem mais de 8 milhões de usuários de acordo com a Chrome Web Store (de acordo com estatísticas do próprio Google, quase nove milhões).

Fazer isso altera a página inicial, a página de nova guia e o provedor de pesquisa padrão no navegador Chrome e Firefox, se instalado no sistema.

A extensão que é instalada solicita oito permissões, incluindo a permissão para 'ler e alterar todos os dados em todos os sites', 'gerenciar downloads', 'comunicar-se com aplicativos nativos cooperativos', 'gerenciar aplicativos, extensões e temas' e alterar a página inicial, configurações de pesquisa e página inicial para uma página de pesquisa personalizada do AVG.

avg web tuneup permissions

O Chrome percebe as mudanças e solicitará aos usuários que restaurem as configurações para seus valores anteriores, caso as alterações feitas pela extensão não fossem intencionais.

Vários problemas surgem com a instalação da extensão, por exemplo, que muda a configuração de inicialização para 'abrir uma página específica', ignorando a escolha do usuário (por exemplo, para continuar a última sessão).

Se isso não for ruim o suficiente, é muito difícil modificar as configurações alteradas sem desativar a extensão. Se verificar as configurações do Chrome após a instalação e ativação do AVG Web TuneUp, você notará que não pode mais modificar a página inicial, iniciar parâmetros ou provedores de pesquisa.

chrome settings blocked

A principal razão pela qual essas mudanças são feitas é dinheiro, não a segurança do usuário. O AVG ganha quando os usuários fazem pesquisas e clicam nos anúncios no mecanismo de pesquisa personalizado que criaram.

Se você adicionar a isso que a empresa anunciou recentemente em uma atualização de política de privacidade que irá coletar e vender - não identificáveis ​​- dados de usuários a terceiros, você acaba com um produto assustador por conta própria.

Problema de segurança

Um funcionário do Google arquivado um relatório de bug em 15 de dezembro informando que o AVG Web TuneUp estava desabilitando a segurança da web para nove milhões de usuários do Chrome. Em uma carta à AVG, ele escreveu:

Peço desculpas pelo meu tom áspero, mas não estou muito feliz com a instalação desse lixo para usuários do Chrome. A extensão está tão danificada que não tenho certeza se devo relatá-la a você como uma vulnerabilidade ou pedir à equipe de abuso de extensão para investigar se é um PuP.

No entanto, minha preocupação é que o seu software de segurança está desativando a segurança da web para 9 milhões de usuários do Chrome, aparentemente para que você possa sequestrar as configurações de pesquisa e a página nova guia.

Existem vários ataques óbvios possíveis, por exemplo, aqui está um xss universal trivial na API de 'navegação' que pode permitir que qualquer site execute script no contexto de qualquer outro domínio. Por exemplo, o atacante.com pode ler o e-mail de mail.google.com ou corp.avg.com ou qualquer outro.

Basicamente, o AVG está colocando os usuários do Chrome em risco por meio de sua extensão, que supostamente deveria tornar a navegação na web mais segura para os usuários do Chrome.

O AVG respondeu com uma correção alguns dias depois, mas ela foi rejeitada porque não resolveu o problema completamente. A empresa tentou limitar a exposição apenas aceitando solicitações se a origem corresponder a avg.com.

O problema com a correção foi que o AVG apenas verificou se avg.com foi incluído na origem que os invasores poderiam explorar usando subdomínios que incluíam a string, por exemplo, avg.com.www.example.com.

A resposta do Google deixou claro que havia mais em jogo.

Seu código proposto não requer uma origem segura, o que significa que permite os protocolos http: // ou https: // ao verificar o nome do host. Por causa disso, um homem da rede no meio pode redirecionar um usuário para http://attack.avg.com e fornecer javascript que abre uma guia para uma origem https segura e, em seguida, injetar código nela. Isso significa que um intermediário pode atacar sites https seguros, como Gmail, Banking e assim por diante.

Para ser absolutamente claro: isso significa que os usuários do AVG têm SSL desativado.

A segunda tentativa de atualização do AVG em 21 de dezembro foi aceita pelo Google, mas o Google desativou as instalações inline por enquanto, pois possíveis violações de política foram investigadas.

Palavras de Encerramento

O AVG colocou milhões de usuários do Chrome em risco e não entregou um patch adequado na primeira vez que não resolveu o problema. Isso é bastante problemático para uma empresa que está tentando proteger os usuários de ameaças na Internet e localmente.

Seria interessante ver o quão benéfico, ou não, todas as extensões de software de segurança são instaladas junto com o software antivírus. Eu não ficaria surpreso se surgissem resultados de que eles causam mais danos do que propiciam uso aos usuários.

Agora você : Qual solução antivírus você está usando?