אנטי וירוס AVG שבר את האבטחה של Chrome, ואת זועמת גוגל על ​​כך

AVG-WebTuneUP

אנטי-וירוס AVG הינה חבילת אבטחה פופולרית כבר יותר מעשור. החברה טוענת ליותר מ -200 מיליון מכשירים פעילים, כולל 100 מיליון התקנות סלולריות. במהלך השנים האחרונות, החברה נתונה באש יותר ויותר על התקנת סרגל הכלים AVG SafeSearch ללא אישור, והודיעה כי תמכור נתוני צרכנים למפרסמים. כעת, יתכן שהחברה סוף סוף הרחיקה לכת, הודות לבאג עצום בתוכנת ה- AVG Web TuneUp שביסרה באופן בסיסי את האבטחה עבור משתמשי Google Chrome.

avg_web_tuneup

סיומת AVG Web TuneUp



ב- 15 בדצמבר, חוקר אבטחה של גוגל, טוויס אורמנדי הגיש דוח באגים עם AVG, וציין שהתוכנה:



'(A) תומך במספר רב של ממשקי API של Chrome לכרום, ככל הנראה כדי שיוכלו לחטוף את הגדרות החיפוש ואת דף הכרטיסייה החדשה. תהליך ההתקנה מורכב למדי כדי שיוכלו לעקוף את בדיקות התוכנות הזדוניות של Chrome, שמנסות במיוחד לעצור שימוש לרעה בממשק ה- API של הרחבה. '

אורמנדי עקב אחר דיווח הבאגים בדוא'ל זועם המתואר בעצמו ונשלח ישירות ל- AVG. בו כותב אורמנדי:



'אני ממש לא מתרגש מהאשפה הזו שמותקנת עבור משתמשי Chrome. התוסף כל כך שבור עד שאני לא בטוח אם עלי לדווח לך עליו כפגיעות, או לבקש מצוות ההתעללות בתוספות לבדוק האם מדובר ב- PuP (תוכנית שעלולה להיות לא רצויה).

עם זאת, החשש שלי הוא שתוכנת האבטחה שלך מבטלת אבטחת אינטרנט עבור 9 מיליון משתמשי Chrome, כנראה כדי שתוכל לחטוף את הגדרות החיפוש ואת דף הכרטיסיות החדש.

קיימות מספר התקפות ברורות אפשריות, למשל, הנה xss אוניברסלי טריוויאלי בממשק ה- API 'נווט' שיכול לאפשר לכל אתר לבצע סקריפט בהקשר של כל תחום אחר. ' (ניתן לראות את דוגמאות הקוד הרלוונטיות בדוח הבאגים הראשוני.)



AVG פרסמה תיקון שבור לבעיה ב -19 בדצמבר, ש- Google דחתה מייד. החברה תוקנה את התיקון שלה שוב, אך החל מ -28 בדצמבר גוגל בודקת את התוסף כדי לקבוע אם AVG בכלל תורשה להציע אותו.

סקירה של השוואות האנטי-וירוסים האחרונות ב- AV- השוואות מראה את האנטי-וירוס של AVG שמופיע בראש הערמה. אי אפשר לומר את אותו הדבר לגבי תוכנות הפיסטום שהחברה לקחה לדחוף את המשתמשים שלה. בשנים האחרונות פרצה שורת תלונות משתמשים, שרובן אומרות את אותם הדברים: התוכנה המשלימה של AVG - Web TuneUp, SafeSearch וכדומה - הן אסונות אבטחה ולא אהובים.

ממוצע

העובדה שהחברה מעוניינת כעת למכור נתוני צרכנים (המידע לעיל הוא של AVG עצמה) עשויה להיות רק הקש האחרון עבור משתמשים רבים. AVG סחרה בבדיקת נאותות בפועל לדחיפת משתמשים לעבר מוצרים שאינם מתפקדים בזמן מכירת הנתונים של בסיס המשתמשים שלה.

Copyright © כל הזכויות שמורות | 2007es.com