AVG Antivirus prelomil zabezpečenie prehliadača Chrome a Google je z toho zúrivý

AVG Antivirus je populárnym bezpečnostným balíkom už viac ako desať rokov. Spoločnosť požaduje viac ako 200 miliónov aktívnych zariadení vrátane 100 miliónov mobilných inštalácií. Za posledných pár rokov sa spoločnosť dostala pod čoraz väčšiu palbu kvôli inštalácii svojho panela nástrojov AVG SafeSearch bez povolenia a oznámeniu, že bude predávať údaje o spotrebiteľoch inzerentom. Teraz možno spoločnosť zašla priďaleko, a to vďaka obrovskej chybe v jej softvéri AVG Web TuneUp, ktorá zásadne narušila bezpečnosť používateľov prehliadača Google Chrome.

Rozšírenie AVG Web TuneUp

15. decembra výskumník spoločnosti Google v oblasti bezpečnosti Tavis Ormandy podal hlásenie o chybe so spoločnosťou AVG a berie na vedomie, že softvér:

„(A) dds number JavaScript API’s to chrome, zjavne tak, aby mohli uniesť nastavenia vyhľadávania a stránku Nová karta. Inštalačný proces je dosť komplikovaný, aby mohli obísť kontroly škodlivého softvéru Chrome, ktoré sa konkrétne snažia zabrániť zneužívaniu rozšírenia API. “

Ormandy nadviazal na správu o chybe popísaným nahnevaným e-mailom priamo do spoločnosti AVG. Ormandy v ňom píše:

„Nie som nadšený z toho, ako sa tento kôš inštaluje pre používateľov prehliadača Chrome. Rozšírenie je natoľko zlomené, že si nie som istý, či by som vám ho nemal hlásiť ako chybu zabezpečenia, alebo či chcem požiadať tím pre zneužitie rozšírenia, aby prešetril, či ide o program PuP (potenciálne nežiaduci program).

Obávam sa však, že váš bezpečnostný softvér deaktivuje zabezpečenie webu pre 9 miliónov používateľov prehliadača Chrome, zjavne preto, aby ste mohli uniesť nastavenia vyhľadávania a stránku na novej karte.

Existuje niekoľko zjavných útokov, napríklad v navigačnom API je triviálny univerzálny xss, ktorý umožňuje akejkoľvek webovej stránke spúšťať skripty v kontexte akejkoľvek inej domény. “ (Príslušné vzorky kódu si môžete pozrieť v úvodnej správe o chybe.)

Spoločnosť AVG vydala 19. decembra nefunkčnú opravu problému, ktorú spoločnosť Google okamžite odmietla. Spoločnosť znova vykonala revíziu svojej opravy, ale 28. decembra spoločnosť Google rozšírenie skúma, aby zistila, či ju AVG bude môcť vôbec ponúkať.

Prehľad najnovších antivírusových porovnaní na webe AV-Comparatives ukazuje antivírusový program AVG fungujúci na vrchu haldy. To isté však nemožno povedať o foistware, ktorý spoločnosť podnikla s cieľom tlačiť na svojich používateľov. Za posledné roky vypukla hromada sťažností používateľov, z ktorých väčšina hovorí o rovnakých veciach: doplnkový softvér AVG - Web TuneUp, SafeSearch a podobne - sú bezpečnostné katastrofy, ktorým sa veľmi nepáči.

Skutočnosť, že spoločnosť chce teraz predávať údaje o spotrebiteľoch (vyššie uvedené informácie pochádzajú od samotnej spoločnosti AVG), môže byť pre mnohých používateľov len poslednou kvapkou. Spoločnosť AVG vymenila skutočnú hĺbkovú analýzu za tlačenie používateľov na produkty, ktoré nefungujú, a to pri predaji údajov svojej používateľskej základne.