AVG membahayakan jutaan pengguna Chrome
- Kategori: Keamanan
Perusahaan keamanan AVG, terkenal dengan produk keamanan gratis dan komersialnya yang menawarkan berbagai layanan dan perlindungan terkait keamanan, baru-baru ini telah membahayakan jutaan pengguna Chrome dengan merusak keamanan Chrome secara mendasar di salah satu ekstensi untuk web browser.
AVG, seperti banyak perusahaan keamanan lain yang menawarkan produk gratis, menggunakan strategi monetisasi yang berbeda untuk memperoleh pendapatan dari penawaran gratisnya.
Salah satu bagian dari persamaan tersebut adalah membuat pelanggan meningkatkan ke versi berbayar dari AVG dan untuk sementara, itulah satu-satunya cara yang berhasil untuk perusahaan seperti AVG.
Versi gratis berfungsi dengan baik dengan sendirinya tetapi digunakan untuk mengiklankan versi berbayar yang menawarkan fitur-fitur canggih seperti anti-spam atau firewall yang disempurnakan di atas itu.
Perusahaan keamanan mulai menambahkan aliran pendapatan lain ke penawaran gratis mereka, dan salah satu yang paling menonjol belakangan ini melibatkan pembuatan ekstensi browser dan manipulasi mesin telusur default browser, halaman beranda, dan halaman tab baru yang menyertainya. .
Pelanggan yang menginstal perangkat lunak AVG pada PC mereka pada akhirnya mendapatkan konfirmasi untuk melindungi browser mereka. Sebuah klik ok di antarmuka menginstal AVG Web TuneUp di browser yang kompatibel dengan interaksi pengguna yang minimal.
Ekstensi tersebut memiliki lebih dari 8 juta pengguna menurut Toko Web Chrome (menurut statistik Google sendiri hampir sembilan juta).
Melakukannya akan mengubah halaman beranda, halaman tab baru, dan penyedia pencarian default di browser web Chrome dan Firefox jika diinstal pada sistem.
Ekstensi yang terinstal meminta delapan izin termasuk izin untuk 'membaca dan mengubah semua data di semua situs web', 'mengatur unduhan', 'berkomunikasi dengan aplikasi asli yang bekerja sama', 'mengelola aplikasi, ekstensi dan tema', dan mengubah halaman beranda, pengaturan pencarian dan halaman awal ke halaman pencarian AVG kustom.
Chrome memperhatikan perubahan dan akan meminta pengguna menawarkan untuk memulihkan pengaturan ke nilai sebelumnya jika perubahan yang dibuat oleh ekstensi tidak dimaksudkan.
Cukup banyak masalah yang muncul dari penginstalan ekstensi, misalnya ekstensi tersebut mengubah pengaturan startup menjadi 'buka halaman tertentu' dengan mengabaikan pilihan pengguna (misalnya untuk melanjutkan sesi terakhir).
Jika itu tidak cukup buruk, maka cukup sulit untuk mengubah pengaturan yang diubah tanpa menonaktifkan ekstensi. Jika Anda memeriksa pengaturan Chrome setelah instalasi dan aktivasi AVG Web TuneUp, Anda akan melihat bahwa Anda tidak dapat lagi mengubah halaman beranda, memulai parameter, atau penyedia pencarian.
Alasan utama mengapa perubahan ini dilakukan adalah uang, bukan keamanan pengguna. AVG memperoleh penghasilan saat pengguna melakukan pencarian dan mengklik iklan di mesin pencari kustom yang mereka buat.
Jika Anda menambahkan untuk ini bahwa perusahaan mengumumkan baru-baru ini dalam pembaruan kebijakan privasi bahwa mereka akan mengumpulkan dan menjual - tidak dapat diidentifikasi - data pengguna kepada pihak ketiga, Anda berakhir dengan produk yang menakutkan itu sendiri.
Masalah keamanan
Seorang karyawan Google diajukan laporan bug pada 15 Desember yang menyatakan bahwa AVG Web TuneUp telah menonaktifkan keamanan web untuk sembilan juta pengguna Chrome. Dalam sebuah surat kepada AVG dia menulis:
Maaf atas nada kasar saya, tapi saya benar-benar tidak senang tentang sampah ini yang dipasang untuk pengguna Chrome. Ekstensi rusak parah sehingga saya tidak yakin apakah saya harus melaporkannya kepada Anda sebagai kerentanan, atau meminta tim penyalahgunaan ekstensi untuk menyelidiki apakah itu PuP.
Namun demikian, kekhawatiran saya adalah perangkat lunak keamanan Anda menonaktifkan keamanan web untuk 9 juta pengguna Chrome, tampaknya sehingga Anda dapat membajak pengaturan pencarian dan halaman tab baru.
Ada beberapa kemungkinan serangan yang jelas, misalnya, berikut ini adalah universal xss sepele di API 'navigasi' yang dapat memungkinkan situs web apa pun untuk mengeksekusi skrip dalam konteks domain lain. Misalnya, attacker.com dapat membaca email dari mail.google.com, atau corp.avg.com, atau apa pun.
Pada dasarnya, AVG membahayakan pengguna Chrome melalui ekstensi yang seharusnya membuat penjelajahan web lebih aman bagi pengguna Chrome.
AVG menanggapi dengan perbaikan beberapa hari kemudian tetapi ditolak karena tidak menyelesaikan masalah sepenuhnya. Perusahaan mencoba membatasi eksposur dengan hanya menerima permintaan jika aslinya cocok dengan avg.com.
Masalah dengan perbaikannya adalah AVG hanya memverifikasi jika avg.com disertakan dalam sumber yang dapat dieksploitasi oleh penyerang dengan menggunakan subdomain yang menyertakan string, mis. avg.com.www.example.com.
Tanggapan Google memperjelas bahwa ada lebih banyak yang dipertaruhkan.
Kode yang Anda usulkan tidak memerlukan asal yang aman, yang berarti kode tersebut mengizinkan protokol http: // atau https: // saat memeriksa nama host. Karena itu, pria jaringan di tengah dapat mengarahkan pengguna ke http://attack.avg.com, dan menyediakan javascript yang membuka tab ke https yang aman, dan kemudian memasukkan kode ke dalamnya. Ini berarti orang di tengah dapat menyerang situs https aman seperti GMail, Perbankan, dan sebagainya.
Untuk lebih jelasnya: ini berarti pengguna AVG telah menonaktifkan SSL.
Upaya pembaruan kedua AVG pada 21 Desember diterima oleh Google, tetapi Google menonaktifkan penginstalan sebaris untuk sementara waktu karena kemungkinan pelanggaran kebijakan diselidiki.
Kata Penutup
AVG membahayakan jutaan pengguna Chrome, dan gagal memberikan tambalan yang tepat pada awalnya yang tidak menyelesaikan masalah. Itu cukup bermasalah bagi perusahaan yang mencoba melindungi pengguna dari ancaman di Internet dan secara lokal.
Menarik untuk melihat seberapa bermanfaat, atau tidak, semua ekstensi perangkat lunak keamanan yang diinstal bersama perangkat lunak antivirus. Saya tidak akan terkejut jika hasilnya menunjukkan bahwa hal itu lebih berbahaya daripada memberikan manfaat kepada pengguna.
Kamu sekarang : Solusi antivirus mana yang Anda gunakan?