AVG Antivirus rikkus Chrome'i turvalisust ja Google on selle peale maruvihane

AVG-WebTuneUP

AVG Antivirus on olnud populaarne turvapakett juba üle kümne aasta. Ettevõte väidab üle 200 miljoni aktiivse seadme, sealhulgas 100 miljonit mobiilset installi. Viimase paari aasta jooksul on ettevõte sattunud üha suurema tule alla selle pärast, et installis oma loata AVG SafeSearchi tööriistariba ja teatas, et müüb tarbijatele mõeldud andmeid reklaamijatele. Nüüd võib ettevõte lõpuks minna liiga kaugele tänu tohutule veale oma AVG Web TuneUp tarkvaras, mis rikkus Google Chrome'i kasutajate turvalisuse põhimõtteliselt.

avg_web_tuneup

AVG Web TuneUp laiendus



15. detsembril Google Security uurija Tavis Ormandy esitas veateate AVG-ga, märkides, et tarkvara:



„(A) lisab Chrome'i arvukalt JavaScripti API-sid, ilmselt selleks, et nad saaksid kaaperdada otsinguseaded ja uue vahelehe lehe. Installiprotsess on üsna keeruline, et nad saaksid mööda hiilida Chrome'i pahavara kontrollist, mis püüab konkreetselt peatada laienduse API kuritarvitamise. '

Ormandy järgis veateavet enda kirjeldatud vihase e-kirjaga, mis saadeti otse AVG-le. Selles kirjutab Ormandy:

'Ma pole tõesti vaimustuses selle prügikasti installimisest Chrome'i kasutajatele. Laiendus on nii rikutud, et ma pole kindel, kas peaksin teile sellest haavatavana teatama või palun laienduse väärkasutuse meeskonnal uurida, kas tegemist on PuP-ga (potentsiaalselt soovimatu programm).

Sellest hoolimata on minu mure see, et teie turvatarkvara keelab veebiturbe 9 miljonil Chrome'i kasutajal, ilmselt selleks, et saaksite otsinguseaded ja uue vahelehe lehe kaaperdada.

Võimalik on mitu ilmset rünnakut, näiteks siin on „navigeerimise” API-s triviaalne universaalne xss, mis võimaldab igal veebisaidil skripti käivitada mis tahes muu domeeni kontekstis. ” (Asjakohaseid koodinäidiseid saab vaadata esialgsest veaaruandest.)

AVG avaldas 19. detsembril probleemile katkise plaastri, mille Google lükkas viivitamatult tagasi. Ettevõte vaatas oma plaastri uuesti üle, kuid alates 28. detsembrist vaatab Google laiendust üle, et teha kindlaks, kas AVG-l lubatakse seda üldse pakkuda.



Ülevaade viimastest viirusetõrjevõrdlustest aadressil AV-võrdlusandmed näitab AVG viirusetõrjet kuhja ülaosas. Sama ei saa öelda aga tarkvara kohta, mida ettevõte on võtnud kasutajatele vastu. Viimastel aastatel on puhkenud kasutajate kaebuste litaania, millest enamik räägivad samu asju: AVG lisatarkvara - Web TuneUp, SafeSearch jms - on turvakatastroofid ja meeletult ei meeldi neile.

AVG

Asjaolu, et ettevõte soovib nüüd müüa tarbijaandmeid (ülaltoodud teave pärineb AVG enda käest), võib paljude kasutajate jaoks olla lihtsalt viimane piisk. AVG on vahetanud hoolsuskohustust tõsta kasutajaid toodete poole, mis oma kasutajabaasi andmeid müües ei tööta.



Copyright © Kõik Õigused Kaitstud | 2007es.com