La empresa de seguridad AVG, conocida por sus productos de seguridad gratuitos y comerciales que ofrecen una amplia gama de salvaguardas y servicios relacionados con la seguridad, ha puesto en riesgo a millones de usuarios de Chrome recientemente al romper la seguridad de Chrome de manera fundamental en una de sus extensiones para la web navegador.
AVG, como muchas otras compañías de seguridad que ofrecen productos gratuitos, está utilizando diferentes estrategias de monetización para obtener ingresos de sus ofertas gratuitas.
Una parte de la ecuación es lograr que los clientes actualicen a versiones pagas de AVG y, por un tiempo, esa fue la única forma en que las cosas funcionaron para compañías como AVG.
La versión gratuita funciona bien por sí sola, pero se está utilizando para anunciar la versión paga que ofrece características avanzadas como antispam o un firewall mejorado además de eso.
Las compañías de seguridad comenzaron a agregar otras fuentes de ingresos a sus ofertas gratuitas, y una de las más destacadas en los últimos tiempos implicó la creación de extensiones del navegador y la manipulación del motor de búsqueda predeterminado del navegador, la página de inicio y la nueva pestaña que lo acompaña. .
Los clientes que instalan el software AVG en su PC reciben un mensaje al final para proteger sus navegadores. Un clic en Aceptar en la interfaz instala AVG Web TuneUp en navegadores compatibles con una mínima interacción del usuario.
La extensión tiene más de 8 millones de usuarios según Chrome Web Store (según las propias estadísticas de Google, casi nueve millones).
Hacerlo cambia la página de inicio, la página de nueva pestaña y el proveedor de búsqueda predeterminado en el navegador web Chrome y Firefox si está instalado en el sistema.
La extensión que se instala solicita ocho permisos, incluido el permiso para "leer y cambiar todos los datos en todos los sitios web", "gestionar descargas", "comunicarse con aplicaciones nativas cooperantes", "administrar aplicaciones, extensiones y temas" y cambiar la página de inicio, configuración de búsqueda y página de inicio a una página de búsqueda AVG personalizada
Chrome nota los cambios y solicitará a los usuarios que ofrezcan restaurar la configuración a sus valores anteriores si los cambios realizados por la extensión no fueron intencionados.
Surgen bastantes problemas al instalar la extensión, por ejemplo, que cambia la configuración de inicio para "abrir una página específica", ignorando la elección de los usuarios (por ejemplo, continuar la última sesión).
Si eso no es lo suficientemente malo, es bastante difícil modificar la configuración modificada sin deshabilitar la extensión. Si verifica la configuración de Chrome después de la instalación y activación de AVG Web TuneUp, notará que ya no puede modificar la página de inicio, iniciar los parámetros o buscar proveedores.
La razón principal por la que se realizan estos cambios es el dinero, no la seguridad del usuario. AVG gana cuando los usuarios realizan búsquedas y hacen clic en anuncios en el motor de búsqueda personalizado que han creado.
Si agrega a esto que la compañía anunció recientemente en una actualización de la política de privacidad que recopilará y venderá datos de usuario no identificables a terceros, terminará con un producto aterrador por sí mismo.
Problema de seguridad
Un empleado de Google presentó un informe de error el 15 de diciembre indicando que AVG Web TuneUp estaba deshabilitando la seguridad web para nueve millones de usuarios de Chrome. En una carta a AVG, escribió:
Disculpas por mi tono áspero, pero realmente no estoy entusiasmado con la instalación de esta basura para los usuarios de Chrome. La extensión está tan rota que no estoy seguro de si debería informarle como una vulnerabilidad o pedirle al equipo de abuso de extensión que investigue si se trata de un PuP.
Sin embargo, mi preocupación es que su software de seguridad está deshabilitando la seguridad web para 9 millones de usuarios de Chrome, aparentemente para que pueda secuestrar la configuración de búsqueda y la nueva página de pestañas.
Hay múltiples ataques obvios posibles, por ejemplo, aquí hay un xss universal trivial en la API "navegar" que puede permitir que cualquier sitio web ejecute script en el contexto de cualquier otro dominio. Por ejemplo, attacker.com puede leer correos electrónicos de mail.google.com o corp.avg.com, o cualquier otra cosa.
Básicamente, AVG está poniendo en riesgo a los usuarios de Chrome a través de su extensión, que supuestamente debería hacer que la navegación web sea más segura para los usuarios de Chrome.
AVG respondió con una solución varios días después, pero fue rechazado ya que no resolvió el problema por completo. La compañía trató de limitar la exposición al aceptar solo solicitudes si el origen coincide con avg.com.
El problema con la solución era que AVG solo verificaba si avg.com estaba incluido en el origen que los atacantes podían explotar mediante el uso de subdominios que incluían la cadena, por ejemplo avg.com.www.example.com.
La respuesta de Google dejó en claro que había más en juego.
Su código propuesto no requiere un origen seguro, lo que significa que permite // o // protocolos al verificar el nombre de host. Debido a esto, un hombre de la red en el medio puede redirigir a un usuario a //attack.avg.com y proporcionar javascript que abre una pestaña a un origen https seguro, y luego inyectar código en él. Esto significa que un hombre en el medio puede atacar sitios seguros https como GMail, Banking, etc.
Para ser absolutamente claro: esto significa que los usuarios de AVG tienen SSL deshabilitado.
Google aceptó el segundo intento de actualización de AVG el 21 de diciembre, pero Google deshabilitó las instalaciones en línea por el momento, ya que se investigaron posibles violaciones de políticas.
Palabras de clausura
AVG puso en riesgo a millones de usuarios de Chrome y no pudo entregar un parche adecuado la primera vez que no resolvió el problema. Eso es bastante problemático para una empresa que está tratando de proteger a los usuarios de amenazas en Internet y localmente.
Sería interesante ver cuán beneficiosas, o no, son todas esas extensiones de software de seguridad que se instalan junto con el software antivirus. No me sorprendería si volvieran los resultados de que hacen más daño que dar uso a los usuarios.
Ahora tú : ¿Qué solución antivirus estás usando?
