AVG pone en riesgo a millones de usuarios de Chrome

La empresa de seguridad AVG, conocida por sus productos de seguridad comerciales y gratuitos que ofrecen una amplia gama de servicios y salvaguardias relacionados con la seguridad, ha puesto en riesgo a millones de usuarios de Chrome recientemente al romper la seguridad de Chrome de manera fundamental en una de sus extensiones para la web. navegador.

AVG, al igual que muchas otras empresas de seguridad que ofrecen productos gratuitos, está utilizando diferentes estrategias de monetización para obtener ingresos de sus ofertas gratuitas.



Una parte de la ecuación es lograr que los clientes se actualicen a versiones pagas de AVG y, durante un tiempo, esa fue la única forma en que las cosas funcionaron para empresas como AVG.

La versión gratuita funciona bien por sí sola, pero se utiliza para anunciar la versión de pago que ofrece funciones avanzadas como anti-spam o un firewall mejorado además de eso.

avg web tuneup

Las empresas de seguridad comenzaron a agregar otras fuentes de ingresos a sus ofertas gratuitas, y una de las más destacadas en los últimos tiempos involucró la creación de extensiones de navegador y la manipulación del motor de búsqueda predeterminado del navegador, la página de inicio y la página de nueva pestaña que la acompañan. .



Los clientes que instalan el software AVG en su PC, al final, reciben un mensaje para proteger sus navegadores. Un clic en Aceptar en la interfaz se instala AVG Web TuneUp en navegadores compatibles con mínima interacción del usuario.

La extensión tiene más de 8 millones de usuarios según la Chrome Web Store (según las propias estadísticas de Google casi nueve millones).

Al hacerlo, cambia la página de inicio, la página de nueva pestaña y el proveedor de búsqueda predeterminado en el navegador web Chrome y Firefox, si está instalado en el sistema.

La extensión que se instala solicita ocho permisos, incluido el permiso para 'leer y cambiar todos los datos en todos los sitios web', 'administrar descargas', 'comunicarse con aplicaciones nativas que cooperan', 'administrar aplicaciones, extensiones y temas' y cambiar la página de inicio, configuración de búsqueda y la página de inicio a una página de búsqueda AVG personalizada.

avg web tuneup permissions

Chrome se da cuenta de los cambios y pedirá a los usuarios que ofrezcan restaurar la configuración a sus valores anteriores si los cambios realizados por la extensión no fueron los previstos.



Surgen bastantes problemas al instalar la extensión, por ejemplo, que cambia la configuración de inicio para 'abrir una página específica' ignorando la elección del usuario (por ejemplo, para continuar con la última sesión).

Si eso no es lo suficientemente malo, es bastante difícil modificar la configuración cambiada sin deshabilitar la extensión. Si comprueba la configuración de Chrome después de la instalación y activación de AVG Web TuneUp, notará que ya no puede modificar la página de inicio, los parámetros de inicio o los proveedores de búsqueda.

chrome settings blocked

La razón principal por la que se realizan estos cambios es el dinero, no la seguridad del usuario. AVG gana cuando los usuarios realizan búsquedas y hacen clic en anuncios en el motor de búsqueda personalizado que han creado.



Si agrega A esto de que la compañía anunció recientemente en una actualización de la política de privacidad que recopilará y venderá datos de usuario no identificables a terceros, terminará con un producto aterrador por sí solo.

Problema de seguridad

Un empleado de Google archivado un informe de error el 15 de diciembre que indicaba que AVG Web TuneUp estaba desactivando la seguridad web para nueve millones de usuarios de Chrome. En una carta a AVG, escribió:

Disculpas por mi tono severo, pero realmente no estoy emocionado por la instalación de esta basura para los usuarios de Chrome. La extensión está tan dañada que no estoy seguro de si debería informarle como una vulnerabilidad o pedirle al equipo de abuso de la extensión que investigue si es un PuP.

Sin embargo, mi preocupación es que su software de seguridad está deshabilitando la seguridad web para 9 millones de usuarios de Chrome, aparentemente para que pueda secuestrar la configuración de búsqueda y la página de nueva pestaña.

Hay múltiples ataques obvios posibles, por ejemplo, aquí hay un xss universal trivial en la API de 'navegar' que puede permitir que cualquier sitio web ejecute un script en el contexto de cualquier otro dominio. Por ejemplo, attacker.com puede leer el correo electrónico de mail.google.com, corp.avg.com o cualquier otra cosa.

Básicamente, AVG está poniendo en riesgo a los usuarios de Chrome a través de su extensión, que supuestamente debería hacer que la navegación web sea más segura para los usuarios de Chrome.

AVG respondió con una solución varios días después, pero fue rechazada porque no resolvió el problema por completo. La compañía trató de limitar la exposición aceptando solicitudes solo si el origen coincide con avg.com.

El problema con la solución era que AVG solo verificaba si avg.com estaba incluido en el origen, lo que los atacantes podrían explotar mediante el uso de subdominios que incluían la cadena, p. avg.com.www.example.com.

La respuesta de Google dejó en claro que había más en juego.

Su código propuesto no requiere un origen seguro, eso significa que permite protocolos http: // o https: // al verificar el nombre de host. Debido a esto, un hombre de la red en el medio puede redirigir a un usuario a http://attack.avg.com y proporcionar javascript que abre una pestaña a un origen https seguro y luego inyectar código en él. Esto significa que un intermediario puede atacar sitios https seguros como GMail, Banking, etc.

Para ser absolutamente claro: esto significa que los usuarios de AVG tienen SSL desactivado.

Google aceptó el segundo intento de actualización de AVG el 21 de diciembre, pero Google deshabilitó las instalaciones en línea por el momento, ya que se investigaron posibles infracciones de las políticas.

Palabras de cierre

AVG puso en riesgo a millones de usuarios de Chrome y no pudo entregar un parche adecuado la primera vez, lo que no resolvió el problema. Eso es bastante problemático para una empresa que intenta proteger a los usuarios de las amenazas en Internet y localmente.

Sería interesante ver qué tan beneficiosas, o no, son todas esas extensiones de software de seguridad que se instalan junto con el software antivirus. No me sorprendería que aparecieran resultados en los que hacen más daño que el uso que hacen los usuarios.

Ahora tu: ¿Qué solución antivirus está utilizando?