AVG Antivirus đã phá vỡ bảo mật của Chrome và Google rất tức giận về điều đó

AVG-WebTuneUP

AVG Antivirus đã là một bộ bảo mật phổ biến trong hơn một thập kỷ. Công ty tuyên bố có hơn 200 triệu thiết bị đang hoạt động, bao gồm 100 triệu lượt cài đặt trên thiết bị di động. Trong vài năm qua, công ty đã ngày càng phải hứng chịu vì cài đặt thanh công cụ Tìm kiếm an toàn AVG mà không được phép và thông báo rằng họ sẽ bán dữ liệu người tiêu dùng cho các nhà quảng cáo. Giờ đây, công ty cuối cùng có thể đã đi quá xa, nhờ một lỗi rất lớn trong phần mềm AVG Web TuneUp đã phá vỡ cơ bản bảo mật cho người dùng Google Chrome.



avg_web_tuneup

Phần mở rộng AVG Web TuneUp



Vào ngày 15 tháng 12, nhà nghiên cứu Bảo mật của Google, Tavis Ormandy đã nộp một báo cáo lỗi với AVG, lưu ý rằng phần mềm:



“(A) nhúng nhiều API JavaScript vào chrome, dường như để chúng có thể chiếm đoạt cài đặt tìm kiếm và trang Tab mới. Quá trình cài đặt khá phức tạp để chúng có thể vượt qua các cuộc kiểm tra phần mềm độc hại của Chrome, đặc biệt cố gắng ngăn chặn việc lạm dụng API tiện ích mở rộng ”.

Ormandy đã theo dõi báo cáo lỗi này bằng một email giận dữ tự mô tả được gửi trực tiếp đến AVG. Trong đó, Ormandy viết:



“Tôi thực sự không vui về việc thùng rác này được cài đặt cho người dùng Chrome. Tiện ích mở rộng bị hỏng nặng đến mức tôi không chắc liệu mình có nên báo cáo cho bạn như một lỗ hổng bảo mật hay yêu cầu nhóm lạm dụng tiện ích điều tra xem đó có phải là PuP (chương trình có khả năng không mong muốn) hay không.



Tuy nhiên, mối quan tâm của tôi là phần mềm bảo mật của bạn đang vô hiệu hóa bảo mật web cho 9 triệu người dùng Chrome, dường như để bạn có thể chiếm đoạt cài đặt tìm kiếm và trang tab mới.

Có thể có nhiều cuộc tấn công rõ ràng, ví dụ: đây là một xss phổ biến nhỏ trong API ‘điều hướng’ có thể cho phép bất kỳ trang web nào thực thi tập lệnh trong ngữ cảnh của bất kỳ miền nào khác ”. (Có thể xem các mẫu mã liên quan tại báo cáo lỗi ban đầu.)



AVG đã phát hành bản vá lỗi cho sự cố vào ngày 19 tháng 12 và Google đã nhanh chóng từ chối. Công ty đã sửa đổi bản vá của mình một lần nữa, nhưng kể từ ngày 28 tháng 12, Google đang xem xét phần mở rộng để xác định xem AVG có được phép cung cấp nó hay không.

Đánh giá về các so sánh chống vi rút gần đây nhất tại AV-So sánh hiển thị chương trình chống vi-rút của AVG đang hoạt động ở đầu heap. Tuy nhiên, điều tương tự không thể nói đối với foistware mà công ty đã thực hiện để thúc đẩy người dùng của mình. Nhiều lời phàn nàn của người dùng đã nổ ra trong những năm gần đây, hầu hết đều nói những điều tương tự: phần mềm bổ sung của AVG - Web TuneUp, Tìm kiếm an toàn và những thứ tương tự - là những thảm họa về bảo mật và đang ngày càng không được ưa chuộng.



AVG



Việc công ty hiện muốn bán dữ liệu người tiêu dùng (thông tin trên là từ chính AVG) có thể chỉ là ống hút cuối cùng cho nhiều người dùng. AVG đã đánh đổi sự thẩm định thực tế để thúc đẩy người dùng hướng tới các sản phẩm không hoạt động trong khi bán dữ liệu của cơ sở người dùng của mình.