AVG gefährdet Millionen von Chrome-Nutzern

Das Sicherheitsunternehmen AVG, das für seine kostenlosen und kommerziellen Sicherheitsprodukte bekannt ist, die ein breites Spektrum an Sicherheitsmaßnahmen und -diensten bieten, hat in letzter Zeit Millionen von Chrome-Nutzern in Gefahr gebracht, indem es die Chrome-Sicherheit in einer seiner Erweiterungen für das Web grundlegend verletzt hat Browser.

Wie viele andere Sicherheitsunternehmen, die kostenlose Produkte anbieten, verwendet AVG unterschiedliche Monetarisierungsstrategien, um mit den kostenlosen Angeboten Einnahmen zu erzielen.

Ein Teil der Gleichung besteht darin, Kunden dazu zu bewegen, auf kostenpflichtige Versionen von AVG zu aktualisieren. Für Unternehmen wie AVG war dies für eine Weile die einzige Möglichkeit.

Die kostenlose Version funktioniert für sich allein, wird jedoch verwendet, um für die kostenpflichtige Version zu werben, die darüber hinaus erweiterte Funktionen wie Anti-Spam oder eine erweiterte Firewall bietet.

Sicherheitsunternehmen fügten ihren kostenlosen Angeboten weitere Einnahmequellen hinzu, und eine der bekanntesten in der letzten Zeit betraf die Erstellung von Browsererweiterungen und die damit einhergehende Manipulation der Standardsuchmaschine, der Startseite und der neuen Registerkarte des Browsers .

Kunden, die die AVG-Software auf ihrem PC installieren, werden am Ende aufgefordert, ihre Browser zu schützen. Durch Klicken auf OK in der Benutzeroberfläche wird AVG Web TuneUp in kompatiblen Browsern mit minimaler Benutzerinteraktion installiert.

Die Erweiterung hat laut Chrome Web Store mehr als 8 Millionen Nutzer (laut Googles eigener Statistik knapp neun Millionen).

Dadurch werden die Startseite, die neue Registerkarte und der Standardsuchanbieter im Chrome- und Firefox-Webbrowser geändert, sofern diese auf dem System installiert sind.

Die installierte Erweiterung erfordert acht Berechtigungen, einschließlich der Berechtigung zum Lesen und Ändern aller Daten auf allen Websites, zum Verwalten von Downloads, zum Kommunizieren mit kooperierenden nativen Anwendungen, zum Verwalten von Apps, Erweiterungen und Designs und zum Ändern der Startseite. Sucheinstellungen und Startseite zu einer benutzerdefinierten AVG-Suchseite.

Chrome nimmt die Änderungen zur Kenntnis und fordert die Benutzer auf, die Einstellungen auf ihre vorherigen Werte zurückzusetzen, wenn die von der Erweiterung vorgenommenen Änderungen nicht beabsichtigt waren.

Bei der Installation der Erweiterung treten einige Probleme auf, beispielsweise, dass die Starteinstellung so geändert wird, dass eine bestimmte Seite geöffnet wird, wobei die Auswahl des Benutzers ignoriert wird (beispielsweise, um die letzte Sitzung fortzusetzen).

Wenn das nicht schlimm genug ist, ist es ziemlich schwierig, geänderte Einstellungen zu ändern, ohne die Erweiterung zu deaktivieren. Wenn Sie die Chrome-Einstellungen nach der Installation und Aktivierung von AVG Web TuneUp überprüfen, werden Sie feststellen, dass Sie die Homepage, die Startparameter oder die Suchanbieter nicht mehr ändern können.

Der Hauptgrund, warum diese Änderungen vorgenommen werden, ist Geld, nicht die Benutzersicherheit. AVG verdient, wenn Nutzer in der von ihnen erstellten benutzerdefinierten Suchmaschine suchen und auf Anzeigen klicken.

Wenn Sie dem hinzufügen, dass das Unternehmen kürzlich in einer Aktualisierung der Datenschutzrichtlinie bekannt gegeben hat, dass es Benutzerdaten sammelt und an Dritte verkauft - nicht identifizierbar -, erhalten Sie ein eigenständiges gruseliges Produkt.

Sicherheitsproblem

Ein Google-Mitarbeiter reichte am 15. Dezember einen Fehlerbericht ein, in dem festgestellt wurde, dass AVG Web TuneUp die Websicherheit für neun Millionen Chrome-Nutzer deaktiviert. In einem Brief an AVG schrieb er:

Entschuldigung für meinen harten Ton, aber ich bin wirklich nicht begeistert, dass dieser Müll für Chrome-Nutzer installiert wird. Die Erweiterung ist so kaputt, dass ich nicht sicher bin, ob ich sie Ihnen als Sicherheitslücke melden oder das Missbrauchsteam der Erweiterung bitten soll, zu untersuchen, ob es sich um eine PuP handelt.

Mein Anliegen ist jedoch, dass Ihre Sicherheitssoftware die Websicherheit für 9 Millionen Chrome-Nutzer deaktiviert, anscheinend, damit Sie Sucheinstellungen und die neue Registerkarte übernehmen können.

Es sind mehrere offensichtliche Angriffe möglich. Hier ist beispielsweise ein triviales universelles xss in der "navigate" -API, mit dem jede Website Skripts im Kontext einer beliebigen anderen Domäne ausführen kann. Beispielsweise kann attacker.com E-Mails von mail.google.com oder corp.avg.com oder was auch immer lesen.

Grundsätzlich gefährdet AVG Chrome-Nutzer durch seine Erweiterung, die angeblich das Surfen im Internet für Chrome-Nutzer sicherer machen soll.

AVG reagierte einige Tage später mit einem Fix, der jedoch abgelehnt wurde, da das Problem nicht vollständig behoben werden konnte. Das Unternehmen hat versucht, die Gefährdung zu begrenzen, indem es nur dann Anfragen entgegennahm, wenn der Ursprung mit avg.com übereinstimmt.

Das Problem mit dem Fix war, dass AVG nur überprüfte, ob avg.com im Ursprung enthalten war, was Angreifer ausnutzen konnten, indem sie Subdomains verwendeten, die die Zeichenfolge enthielten, z. B. avg.com.www.example.com.

Die Antwort von Google machte deutlich, dass es um mehr ging.

Ihr vorgeschlagener Code erfordert keinen sicheren Ursprung, dh, er erlaubt // oder // Protokolle bei der Überprüfung des Hostnamens. Aus diesem Grund kann ein Mann in der Mitte des Netzwerks einen Benutzer zu //attack.avg.com umleiten und Javascript bereitstellen, das einen Tab zu einem sicheren https-Ursprung öffnet, und dann Code darin einfügen. Dies bedeutet, dass ein Mann in der Mitte sichere https-Sites wie GMail, Banking usw. angreifen kann.

Um ganz klar zu sein: Dies bedeutet, dass für AVG-Benutzer SSL deaktiviert ist.

Der zweite Aktualisierungsversuch von AVG am 21. Dezember wurde von Google akzeptiert, Google hat jedoch Inline-Installationen vorerst deaktiviert, da mögliche Verstöße gegen die Richtlinien untersucht wurden.

Schlussworte

AVG hat Millionen von Chrome-Nutzern in Gefahr gebracht und konnte beim ersten Mal keinen richtigen Patch bereitstellen, der das Problem nicht behebt. Das ist ziemlich problematisch für ein Unternehmen, das versucht, Benutzer vor Bedrohungen im Internet und vor Ort zu schützen.

Es wäre interessant zu sehen, wie vorteilhaft all diese Sicherheits-Software-Erweiterungen sind, die zusammen mit Antivirensoftware installiert werden. Es würde mich nicht wundern, wenn die Ergebnisse zurückkommen würden, dass sie den Nutzern mehr Schaden zufügen als sie nutzen.

Now You : Welche Antivirenlösung verwenden Sie?