A empresa de segurança AVG, conhecida por seus produtos de segurança gratuitos e comerciais, que oferecem uma ampla variedade de serviços e salvaguardas relacionadas à segurança, colocou milhões de usuários do Chrome em risco recentemente, quebrando a segurança do Chrome de maneira fundamental em uma de suas extensões para a Web navegador.
O AVG, como muitas outras empresas de segurança que oferecem produtos gratuitos, está usando diferentes estratégias de monetização para obter receita com suas ofertas gratuitas.
Uma parte da equação é fazer com que os clientes atualizem para versões pagas do AVG e, por um tempo, essa foi a única maneira que as coisas funcionaram para empresas como o AVG.
A versão gratuita funciona bem por si só, mas está sendo usada para anunciar a versão paga que oferece recursos avançados, como anti-spam ou um firewall aprimorado.
As empresas de segurança começaram a adicionar outros fluxos de receita às suas ofertas gratuitas, e uma das mais importantes dos últimos tempos envolveu a criação de extensões do navegador e a manipulação do mecanismo de pesquisa padrão do navegador, da página inicial e da nova guia que o acompanham. .
Os clientes que instalam o software AVG em seu PC recebem uma solicitação no final para proteger seus navegadores. Um clique em ok na interface instala o AVG Web TuneUp em navegadores compatíveis com interação mínima do usuário.
A extensão tem mais de 8 milhões de usuários, de acordo com a Chrome Web Store (de acordo com as estatísticas do próprio Google, quase nove milhões).
Isso altera a página inicial, a nova guia e o provedor de pesquisa padrão no navegador Chrome e Firefox, se instalado no sistema.
A extensão instalada solicita oito permissões, incluindo a permissão para "ler e alterar todos os dados em todos os sites", "gerenciar downloads", "comunicar-se com aplicativos nativos cooperantes", "gerenciar aplicativos, extensões e temas" e alterar a página inicial, configurações de pesquisa e página inicial para uma página de pesquisa personalizada do AVG.
O Chrome notará as alterações e solicitará aos usuários que oferecem restaurar as configurações para seus valores anteriores, se as alterações feitas pela extensão não forem intencionais.
Muitos problemas surgem da instalação da extensão, por exemplo, que ela altera a configuração de inicialização para "abrir uma página específica", ignorando a escolha do usuário (por exemplo, para continuar a última sessão).
Se isso não for ruim o suficiente, é bastante difícil modificar as configurações alteradas sem desativar a extensão. Se você verificar as configurações do Chrome após a instalação e a ativação do AVG Web TuneUp, notará que não poderá mais modificar a página inicial, iniciar parâmetros ou procurar provedores.
A principal razão pela qual essas alterações são feitas é dinheiro, não segurança do usuário. O AVG ganha quando os usuários fazem pesquisas e clicam nos anúncios no mecanismo de pesquisa personalizado que eles criaram.
Se você acrescentar a isso que a empresa anunciou recentemente em uma atualização da política de privacidade que coletará e venderá dados de usuários - não identificáveis - a terceiros, você terá um produto assustador por conta própria.
Problema de segurança
Um funcionário do Google registrou um relatório de bug em 15 de dezembro informando que o AVG Web TuneUp estava desativando a segurança da web para nove milhões de usuários do Chrome. Em uma carta à AVG, ele escreveu:
Pedimos desculpas pelo meu tom severo, mas não estou realmente empolgado com a instalação deste lixo para usuários do Chrome. A extensão está tão danificada que não tenho certeza se devo denunciá-la como uma vulnerabilidade ou pedir à equipe de abuso de extensão para investigar se é um PuP.
No entanto, minha preocupação é que seu software de segurança esteja desativando a segurança da Web para 9 milhões de usuários do Chrome, aparentemente para que você possa invadir as configurações de pesquisa e a nova página da guia.
Existem vários ataques óbvios possíveis, por exemplo, aqui está um xss universal trivial na API "navegar" que pode permitir que qualquer site execute scripts no contexto de qualquer outro domínio. Por exemplo, o attacker.com pode ler e-mails em mail.google.com ou corp.avg.com ou qualquer outra coisa.
Basicamente, o AVG está colocando em risco os usuários do Chrome por meio de sua extensão, que supostamente deve tornar a navegação na Web mais segura para os usuários do Chrome.
O AVG respondeu com uma correção vários dias depois, mas foi rejeitado porque não resolveu o problema completamente. A empresa tentou limitar a exposição apenas aceitando solicitações se a origem corresponder a avg.com.
O problema com a correção era que o AVG verificava apenas se avg.com estava incluído na origem que os invasores poderiam explorar usando subdomínios que incluíam a cadeia, por exemplo, avg.com.www.example.com.
A resposta do Google deixou claro que havia mais em jogo.
Seu código proposto não requer uma origem segura, o que significa que ele permite protocolos // ou // ao verificar o nome do host. Por esse motivo, um homem de rede no meio pode redirecionar um usuário para //attack.avg.com e fornecer javascript que abre uma guia para uma origem https segura e, em seguida, injetar código nela. Isso significa que um homem no meio pode atacar sites https seguros como GMail, Banking e assim por diante.
Para ser absolutamente claro: isso significa que os usuários do AVG têm o SSL desativado.
A segunda tentativa de atualização do AVG em 21 de dezembro foi aceita pelo Google, mas o Google desativou as instalações em linha no momento em que possíveis violações de políticas foram investigadas.
Palavras finais
O AVG colocou milhões de usuários do Chrome em risco e não conseguiu fornecer um patch adequado na primeira vez, o que não resolveu o problema. Isso é bastante problemático para uma empresa que está tentando proteger os usuários contra ameaças na Internet e localmente.
Seria interessante ver quão benéficas, ou não, todas essas extensões de software de segurança são instaladas juntamente com o software antivírus. Eu não ficaria surpreso se os resultados retornassem, pois eles causam mais danos do que fornecem uso aos usuários.
Agora você : Qual solução antivírus você está usando?
