AVG Antivirus rikkoi Chromen tietoturvan, ja Google raivostui siitä

AVG-WebTuneUP

AVG Antivirus on ollut suosittu tietoturvapaketti yli vuosikymmenen ajan. Yhtiö väittää yli 200 miljoonaa aktiivista laitetta, mukaan lukien 100 miljoonaa mobiiliasennusta. Viime vuosina yritys on joutunut lisääntyvään tuleen, kun se on asentanut AVG SafeSearch -työkalurivin ilman lupaa ja ilmoittanut myyvänsä kuluttajatietoja mainostajille. Nyt yritys on saattanut vihdoin mennä liian pitkälle, kiitos AVG Web TuneUp -ohjelmistossa olevan valtavan virheen, joka rikkoi perusteellisesti Google Chrome -käyttäjien tietoturvan.

avg_web_tuneup

AVG Web TuneUp -laajennus



15. joulukuuta Google Security -tutkija Tavis Ormandy jätti virheraportin AVG: n kanssa ja huomauttaa, että ohjelmisto:



((A) dds lukuisia JavaScript-sovellusliittymiä kromiin, ilmeisesti jotta ne voivat kaapata hakuasetukset ja Uusi välilehti -sivun. Asennusprosessi on melko monimutkainen, jotta he voivat ohittaa Chromen haittaohjelmatarkistukset, mikä yrittää erityisesti estää laajennuksen sovellusliittymän väärinkäytön. '

Ormandy seurasi virheraporttia itse kuvatulla vihaisella sähköpostilla, joka lähetettiin suoraan AVG: lle. Siinä Ormandy kirjoittaa:

'En todellakaan ole innoissaan siitä, että tämä roskakori asennetaan Chrome-käyttäjille. Laajennus on niin pahasti rikki, että en ole varma, pitäisikö minun ilmoittaa siitä sinulle haavoittuvuudeksi vai pyytääkö laajennuksen väärinkäyttäjiä tutkimaan, onko kyseessä PuP (mahdollisesti ei-toivottu ohjelma).

Olen kuitenkin huolissani siitä, että tietoturvaohjelmisto poistaa verkkoturvallisuuden 9 miljoonalta Chrome-käyttäjältä ilmeisesti, jotta voit kaapata hakuasetukset ja uuden välilehden.

On olemassa useita ilmeisiä hyökkäyksiä, esimerkiksi tässä on triviaali universaali xss ‘navigoi’ -sovellusliittymässä, joka voi sallia minkä tahansa verkkosivuston suorittaa komentosarjan minkä tahansa muun verkkotunnuksen yhteydessä. ” (Asiaankuuluvat koodinäytteet ovat nähtävissä alkuperäisessä virheraportissa.)

AVG julkaisi 19. joulukuuta rikkoutuneen korjaustiedoston, jonka Google hylkäsi nopeasti. Yritys tarkisti korjaustiedostonsa uudelleen, mutta 28. joulukuuta alkaen Google tarkistaa laajennusta selvittääkseen, saako AVG tarjota sitä ollenkaan.



Katsaus uusimpiin virustentorjuntavertailuihin osoitteessa AV-vertailut näyttää AVG: n virustentorjunnan toimivan kasan päällä. Samaa ei kuitenkaan voida sanoa foistware-ohjelmasta, jonka yritys on ryhtynyt ajamaan käyttäjiään. Viime vuosina on puhjennut useita valituksia käyttäjistä, joista suurin osa kertoo samat asiat: AVG: n lisäohjelmistot - Web TuneUp, SafeSearch ja muut vastaavat - ovat tietoturvakatastrofeja, joista ei pidetä rajusti.

AVG

Se, että yritys haluaa nyt myydä kuluttajatietoja (yllä olevat tiedot ovat itse AVG: ltä), voi olla vain viimeinen pilli monille käyttäjille. AVG on käynyt kauppaa todellisessa due diligence -tapahtumassa ajamalla käyttäjiä kohti tuotteita, jotka eivät toimi, samalla kun myydään käyttäjätietokannan tietoja.



Copyright © Kaikki Oikeudet Pidätetään | 2007es.com