AVG Antivirus pārtrauca Chrome drošību, un Google ir sašutusi par to

AVG-WebTuneUP

AVG Antivirus ir bijis populārs drošības komplekts vairāk nekā desmit gadus. Uzņēmums pieprasa vairāk nekā 200 miljonus aktīvo ierīču, tostarp 100 miljonus mobilo ierīču. Dažu pēdējo gadu laikā uzņēmums ir nonācis aizvien pieaugošā situācijā, jo bez atļaujas ir instalējis AVG SafeSearch rīkjoslu un paziņojis, ka pārdos patērētāju datus reklāmdevējiem. Iespējams, ka uzņēmums beidzot ir aizgājis pārāk tālu, pateicoties milzīgai AVG Web TuneUp programmatūras kļūdai, kas būtiski nojauca Google Chrome lietotāju drošību.



avg_web_tuneup

AVG Web TuneUp paplašinājums



15. decembrī Google drošības pētnieks Tavis Ormandy iesniedza ziņojumu par kļūdu ar AVG, atzīmējot, ka programmatūra:



“(A) hromē daudzus JavaScript API, acīmredzot, lai tie varētu nolaupīt meklēšanas iestatījumus un Jaunas cilnes lapu. Instalēšanas process ir diezgan sarežģīts, lai viņi varētu apiet Chrome ļaunprātīgas programmatūras pārbaudes, kas īpaši mēģina apturēt paplašinājuma API ļaunprātīgu izmantošanu. ”

Ormandijs sekoja ziņojumam par kļūdu, nosūtot pašu aprakstītu niknu e-pastu tieši uz AVG. Tajā Ormandijs raksta:



“Es tiešām neesmu sajūsmā par to, ka šī atkritne tiek instalēta Chrome lietotājiem. Paplašinājums ir tik ļoti salauzts, ka es neesmu pārliecināts, vai man vajadzētu par to ziņot jums kā par ievainojamību, vai lūgt paplašinājuma ļaunprātīgas izmantošanas komandu izpētīt, vai tā ir PuP (potenciāli nevēlama programma).



Neskatoties uz to, man ir bažas, ka jūsu drošības programmatūra atspējo tīmekļa drošību 9 miljoniem Chrome lietotāju, acīmredzot, lai jūs varētu nolaupīt meklēšanas iestatījumus un jaunās cilnes lapu.

Ir iespējami vairāki acīmredzami uzbrukumi, piemēram, šeit ir nenozīmīgs universāls xss ‘navigate’ API, kas ļauj jebkurai vietnei izpildīt skriptu jebkura cita domēna kontekstā. ” (Attiecīgos kodu paraugus var apskatīt sākotnējā kļūdu pārskatā.)



AVG 19. decembrī izlaida bojātu problēmas plāksteri, kuru Google nekavējoties noraidīja. Uzņēmums vēlreiz pārskatīja savu plāksteri, taču no 28. decembra Google pārskata paplašinājumu, lai noteiktu, vai AVG to vispār drīkstēs piedāvāt.

Pārskats par jaunākajiem pretvīrusu salīdzinājumiem vietnē AV salīdzinošie līdzekļi parāda AVG antivīrusu darbību kaudzes augšdaļā. Tomēr to nevar teikt par programmatūru, ko uzņēmums ir izmantojis, lai piespiestu savus lietotājus. Pēdējos gados ir izcēlusies litānija lietotāju sūdzību, no kurām lielākā daļa saka vienus un tos pašus vārdus: AVG papildu programmatūra - Web TuneUp, SafeSearch un tamlīdzīgi - ir drošības katastrofas un nikni nepatīk.



AVG



Fakts, ka uzņēmums tagad vēlas pārdot patērētāju datus (iepriekš sniegtā informācija ir no paša AVG), var būt tikai pēdējais piliens daudziem lietotājiem. AVG ir tirgojis faktisko uzticamības pārbaudi, mudinot lietotājus virzīties uz produktiem, kas nedarbojas, vienlaikus pārdodot tās lietotāju bāzes datus.