Công ty bảo mật AVG, nổi tiếng với các sản phẩm bảo mật thương mại và miễn phí cung cấp nhiều dịch vụ và biện pháp bảo vệ liên quan đến bảo mật, đã khiến hàng triệu người dùng Chrome gặp rủi ro khi phá vỡ bảo mật Chrome theo cách cơ bản trong một trong các tiện ích mở rộng cho web trình duyệt.
AVG, giống như nhiều công ty bảo mật khác cung cấp các sản phẩm miễn phí, đang sử dụng các chiến lược kiếm tiền khác nhau để kiếm doanh thu từ các dịch vụ miễn phí.
Một phần của phương trình là khiến khách hàng nâng cấp lên các phiên bản AVG trả phí và trong một thời gian, đó là cách duy nhất mọi thứ hoạt động cho các công ty như AVG.
Phiên bản miễn phí tự hoạt động tốt nhưng đang được sử dụng để quảng cáo phiên bản trả phí đang cung cấp các tính năng nâng cao như chống thư rác hoặc tường lửa nâng cao trên đó.
Các công ty bảo mật bắt đầu thêm các luồng doanh thu khác vào các dịch vụ miễn phí của họ và một trong những công cụ nổi bật nhất trong thời gian gần đây liên quan đến việc tạo tiện ích mở rộng trình duyệt và thao tác với công cụ tìm kiếm mặc định, trang chủ và trang tab mới đi kèm với nó .
Những khách hàng cài đặt phần mềm AVG trên PC của họ nhận được lời nhắc cuối cùng để bảo vệ an toàn cho trình duyệt của họ. Nhấp chuột vào ok trong giao diện sẽ cài đặt AVG Web TuneUp trong các trình duyệt tương thích với sự tương tác tối thiểu của người dùng.
Tiện ích mở rộng có hơn 8 triệu người dùng theo Cửa hàng Chrome trực tuyến (theo thống kê của riêng Google gần chín triệu).
Làm như vậy sẽ thay đổi trang chủ, trang tab mới và nhà cung cấp tìm kiếm mặc định trong trình duyệt web Chrome và Firefox nếu được cài đặt trên hệ thống.
Tiện ích mở rộng được cài đặt yêu cầu tám quyền bao gồm quyền "đọc và thay đổi tất cả dữ liệu trên tất cả các trang web", "tải xuống mange", "giao tiếp với việc hợp tác các ứng dụng gốc", "quản lý ứng dụng, tiện ích mở rộng và chủ đề" và thay đổi trang chủ, cài đặt tìm kiếm và trang bắt đầu đến trang tìm kiếm AVG tùy chỉnh.
Chrome thông báo các thay đổi và sẽ nhắc người dùng cung cấp khôi phục cài đặt về giá trị trước đó của họ nếu những thay đổi được thực hiện bởi tiện ích mở rộng không nhằm mục đích.
Khá nhiều vấn đề phát sinh từ việc cài đặt tiện ích mở rộng, ví dụ như nó thay đổi cài đặt khởi động thành "mở một trang cụ thể" bỏ qua lựa chọn của người dùng (ví dụ: để tiếp tục phiên cuối cùng).
Nếu điều đó không đủ tệ, sẽ rất khó để sửa đổi cài đặt đã thay đổi mà không tắt tiện ích mở rộng. Nếu bạn kiểm tra cài đặt Chrome sau khi cài đặt và kích hoạt AVG Web TuneUp, bạn sẽ nhận thấy rằng bạn không thể sửa đổi trang chủ, bắt đầu tham số hoặc nhà cung cấp tìm kiếm nữa.
Lý do chính tại sao những thay đổi này được thực hiện là tiền, không phải bảo mật người dùng. AVG kiếm được khi người dùng thực hiện tìm kiếm và nhấp vào quảng cáo trên công cụ tìm kiếm tùy chỉnh mà họ đã tạo.
Nếu bạn thêm vào điều này mà công ty đã thông báo gần đây trong bản cập nhật chính sách bảo mật rằng họ sẽ thu thập và bán - không thể nhận dạng - dữ liệu người dùng cho bên thứ ba, bạn sẽ tự mình kết thúc bằng một sản phẩm đáng sợ.
Vấn đề an ninh
Một nhân viên của Google đã nộp báo cáo lỗi vào ngày 15 tháng 12 nói rằng AVG Web TuneUp đang vô hiệu hóa bảo mật web cho chín triệu người dùng Chrome. Trong một lá thư gửi AVG, ông đã viết:
Xin lỗi vì giọng điệu gay gắt của tôi, nhưng tôi thực sự không vui về việc thùng rác này được cài đặt cho người dùng Chrome. Tiện ích mở rộng bị hỏng nghiêm trọng đến mức tôi không chắc liệu tôi có nên báo cáo cho bạn biết về lỗ hổng hay không hoặc yêu cầu nhóm lạm dụng tiện ích điều tra nếu đó là PuP.
Tuy nhiên, mối quan tâm của tôi là phần mềm bảo mật của bạn đang vô hiệu hóa bảo mật web cho 9 triệu người dùng Chrome, rõ ràng để bạn có thể chiếm quyền điều khiển cài đặt tìm kiếm và trang tab mới.
Có nhiều cuộc tấn công rõ ràng có thể xảy ra, ví dụ, đây là một xss phổ biến tầm thường trong API "điều hướng" có thể cho phép bất kỳ trang web nào thực thi tập lệnh trong ngữ cảnh của bất kỳ tên miền nào khác. Ví dụ: Attacker.com có thể đọc email từ mail.google.com hoặc corp.avg.com hoặc bất cứ điều gì khác.
Về cơ bản, AVG đang khiến người dùng Chrome gặp rủi ro thông qua tiện ích mở rộng được cho là sẽ giúp trình duyệt web an toàn hơn cho người dùng Chrome.
AVG đã trả lời với một bản sửa lỗi vài ngày sau đó nhưng nó đã bị từ chối vì nó không giải quyết được vấn đề hoàn toàn. Công ty đã cố gắng hạn chế tiếp xúc bằng cách chỉ chấp nhận các yêu cầu nếu nguồn gốc khớp với avg.com.
Vấn đề với cách khắc phục là AVG chỉ được xác minh nếu avg.com được bao gồm trong nguồn gốc mà kẻ tấn công có thể khai thác bằng cách sử dụng các tên miền phụ bao gồm chuỗi, ví dụ avg.com.www.example.com.
Phản ứng của Google cho thấy rõ rằng có nhiều nguy cơ hơn.
Mã đề xuất của bạn không yêu cầu nguồn gốc an toàn, điều đó có nghĩa là nó cho phép các giao thức // hoặc // khi kiểm tra tên máy chủ. Do đó, một người đàn ông ở giữa có thể chuyển hướng người dùng đến //attack.avg.com và cung cấp javascript mở tab để có nguồn gốc https an toàn, sau đó đưa mã vào đó. Điều này có nghĩa là một người đàn ông ở giữa có thể tấn công các trang web https an toàn như GMail, Ngân hàng, v.v.
Hoàn toàn rõ ràng: điều này có nghĩa là người dùng AVG đã bị vô hiệu hóa SSL.
Nỗ lực cập nhật lần thứ hai của AVG vào ngày 21 tháng 12 đã được Google chấp nhận, nhưng Google đã vô hiệu hóa cài đặt nội tuyến trong thời gian đó vì các vi phạm chính sách có thể đã được điều tra.
Từ kết thúc
AVG khiến hàng triệu người dùng Chrome gặp rủi ro và không cung cấp bản vá thích hợp ngay lần đầu tiên không giải quyết được vấn đề. Đó là một vấn đề khá khó khăn đối với một công ty đang cố gắng bảo vệ người dùng khỏi các mối đe dọa trên Internet và tại địa phương.
Sẽ rất thú vị khi xem mức độ có lợi hay không, tất cả các phần mở rộng phần mềm bảo mật này được cài đặt cùng với phần mềm chống vi-rút. Tôi sẽ không ngạc nhiên nếu kết quả quay lại rằng chúng gây hại nhiều hơn là cung cấp cho người dùng.
Bây giờ Bạn : Bạn đang sử dụng giải pháp chống vi-rút nào?
