AVG Antivirus brøt Chromes sikkerhet, og Googles rasende over det

AVG-WebTuneUP

AVG Antivirus har vært en populær sikkerhetspakke i mer enn et tiår. Selskapet hevder mer enn 200 millioner aktive enheter, inkludert 100 millioner mobile installasjoner. I løpet av de siste årene har selskapet fått stadig større skudd for å installere AVG SafeSearch-verktøylinjen uten tillatelse, og kunngjøre at de vil selge forbrukerdata til annonsører. Nå kan selskapet endelig ha gått for langt, takket være en enorm feil i AVG Web TuneUp-programvaren som i utgangspunktet brøt sikkerheten for Google Chrome-brukere.

avg_web_tuneup

AVG Web TuneUp-utvidelsen



15. desember, Google Security-forsker Tavis Ormandy arkivert en feilrapport med AVG, og bemerket at programvaren:



“(A) har flere JavaScript API-er til krom, tilsynelatende slik at de kan kapre søkeinnstillinger og siden Ny fane. Installasjonsprosessen er ganske komplisert, slik at de kan omgå kontrollene av skadelig programvare for Chrome, som spesielt prøver å stoppe misbruk av utvidelses-API. '

Ormandy fulgte opp feilrapporten med en selvbeskrevet sint e-post sendt direkte til AVG. I den skriver Ormandy:



«Jeg er virkelig ikke begeistret over at dette søppelet blir installert for Chrome-brukere. Utvidelsen er så dårlig ødelagt at jeg ikke er sikker på om jeg skal rapportere det til deg som et sårbarhet, eller ber om misbruksteamet for utvidelser om å undersøke om det er et PuP (potensielt uønsket program).

Likevel er min bekymring at sikkerhetsprogramvaren din deaktiverer websikkerhet for 9 millioner Chrome-brukere, tilsynelatende slik at du kan kapre søkeinnstillinger og den nye fanesiden.

Det er flere åpenbare angrep mulig, her er for eksempel en triviell universell xss i 'navigere' API som kan tillate ethvert nettsted å utføre skript i sammenheng med et hvilket som helst annet domene. ' (De aktuelle kodeprøvene kan vises i den første feilrapporten.)



AVG ga ut en ødelagt oppdatering for problemet 19. desember, som Google umiddelbart avviste. Selskapet reviderte oppdateringen sin igjen, men fra 28. desember gjennomgår Google utvidelsen for å avgjøre om AVG i det hele tatt får lov til å tilby den.

En gjennomgang av de siste antivirus sammenligningene på AV-Comparatives viser AVGs antivirus som yter på toppen av dyngen. Det samme kan imidlertid ikke sies for foistware som selskapet har tatt for å presse på brukerne. Det har brutt ut en rekke brukerklager de siste årene, hvorav de fleste sier det samme: AVGs tilleggsprogramvare - Web TuneUp, SafeSearch og lignende - er sikkerhetskatastrofer og misliker voldsomt.

AVG

Det faktum at selskapet nå ønsker å selge forbrukerdata (informasjonen ovenfor er fra AVG selv) kan bare være det siste strået for mange brukere. AVG har handlet faktisk due diligence for å presse brukere mot produkter som ikke fungerer mens de selger dataene fra brukerbasen.

Copyright © Alle Rettigheter Reservert | 2007es.com