يعرض AVG الملايين من مستخدمي Chrome للخطر

• فئة: الأمان

جرب أداة القضاء على المشاكل

حدد نظام التشغيل Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro اختر برنامج الإسقاط (اختياريا) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

صف مشكلتك

إحصل على جواب

أرسل لي عبر البريد الإلكتروني عرض على الموقع

شركة الأمان AVG ، المعروفة بمنتجاتها الأمنية المجانية والتجارية التي تقدم مجموعة واسعة من الضمانات والخدمات المتعلقة بالأمان ، قد عرّضت الملايين من مستخدمي Chrome للخطر مؤخرًا من خلال كسر أمان Chrome بطريقة أساسية في أحد ملحقاتها للويب المتصفح.

تستخدم AVG ، مثل العديد من شركات الأمان الأخرى التي تقدم منتجات مجانية ، استراتيجيات مختلفة لتحقيق الدخل لكسب الإيرادات من عروضها المجانية.

يتمثل أحد أجزاء المعادلة في حث العملاء على الترقية إلى الإصدارات المدفوعة من AVG ولفترة من الوقت ، كانت هذه هي الطريقة الوحيدة التي تعمل بها الأشياء لشركات مثل AVG.

يعمل الإصدار المجاني بشكل جيد من تلقاء نفسه ولكنه يُستخدم للإعلان عن الإصدار المدفوع الذي يقدم ميزات متقدمة مثل مكافحة البريد العشوائي أو جدار حماية محسّن فوق ذلك.

بدأت شركات الأمان في إضافة تدفقات إيرادات أخرى إلى عروضها المجانية ، وكان من أبرزها في الآونة الأخيرة إنشاء امتدادات للمتصفح والتلاعب بمحرك البحث الافتراضي للمتصفح والصفحة الرئيسية وصفحة علامة التبويب الجديدة التي تتماشى معها .

يحصل العملاء الذين يقومون بتثبيت برنامج AVG على أجهزة الكمبيوتر الخاصة بهم على مطالبة في النهاية بحماية متصفحاتهم. انقر فوق موافق في تثبيت الواجهة AVG Web TuneUp في المتصفحات المتوافقة مع الحد الأدنى من تفاعل المستخدم.

يحتوي الامتداد على أكثر من 8 ملايين مستخدم وفقًا لمتجر Chrome الإلكتروني (وفقًا لإحصائيات Google الخاصة بما يقرب من تسعة ملايين).

يؤدي القيام بذلك إلى تغيير الصفحة الرئيسية وصفحة علامة التبويب الجديدة وموفر البحث الافتراضي في متصفح الويب Chrome و Firefox إذا كان مثبتًا على النظام.

تطلب الإضافة التي يتم تثبيتها ثمانية أذونات بما في ذلك الإذن بـ 'قراءة جميع البيانات وتغييرها على جميع مواقع الويب' و 'إدارة التنزيلات' و 'التواصل مع التطبيقات الأصلية المتعاونة' و 'إدارة التطبيقات والإضافات والسمات' وتغيير الصفحة الرئيسية ، إعدادات البحث وصفحة البدء لصفحة بحث AVG مخصصة.

يلاحظ Chrome التغييرات وسيطالب المستخدمين بعرض استعادة الإعدادات إلى قيمهم السابقة إذا لم تكن التغييرات التي أجراها الامتداد مقصودة.

تنشأ بعض المشكلات من تثبيت الامتداد ، على سبيل المثال أنه يغير إعداد بدء التشغيل إلى 'فتح صفحة معينة' متجاهلاً اختيار المستخدمين (على سبيل المثال ، متابعة الجلسة الأخيرة)

إذا لم يكن ذلك سيئًا بما يكفي ، فمن الصعب جدًا تعديل الإعدادات المتغيرة دون تعطيل الامتداد. إذا قمت بفحص إعدادات Chrome بعد تثبيت وتنشيط AVG Web TuneUp ، فستلاحظ أنه لا يمكنك تعديل الصفحة الرئيسية أو معلمات البدء أو موفري البحث بعد الآن.

السبب الرئيسي وراء إجراء هذه التغييرات هو المال وليس أمان المستخدم. يكسب AVG عندما يقوم المستخدمون بالبحث والنقر فوق الإعلانات على محرك البحث المخصص الذي قاموا بإنشائه.

اذا اضفت لهذا أعلنت الشركة مؤخرًا في تحديث لسياسة الخصوصية أنها ستجمع بيانات المستخدم - غير القابلة للتحديد - وتبيعها لأطراف ثالثة ، ينتهي بك الأمر بمنتج مخيف بمفرده.

قضية أمنية

موظف Google قدم تقرير خطأ في 15 ديسمبر يفيد بأن AVG Web TuneUp كان يعطل أمان الويب لتسعة ملايين من مستخدمي Chrome. في رسالة إلى AVG كتب:

أعتذر عن لهجتي القاسية ، لكنني لست سعيدًا حقًا بتثبيت هذه المهملات لمستخدمي Chrome. تم كسر الامتداد بشكل سيئ لدرجة أنني لست متأكدًا مما إذا كان يجب أن أبلغك به باعتباره ثغرة أمنية ، أو أن أطلب من فريق إساءة استخدام الامتداد التحقيق في ما إذا كان PuP.

ومع ذلك ، فإن ما يقلقني هو أن برنامج الأمان الخاص بك يعطل أمان الويب لـ 9 ملايين من مستخدمي Chrome ، على ما يبدو حتى تتمكن من اختطاف إعدادات البحث وصفحة علامة التبويب الجديدة.

هناك العديد من الهجمات الواضحة المحتملة ، على سبيل المثال ، يوجد هنا xss عام تافه في واجهة برمجة تطبيقات 'التنقل' التي يمكن أن تسمح لأي موقع ويب بتنفيذ البرنامج النصي في سياق أي مجال آخر. على سبيل المثال ، يمكن لـ attacker.com قراءة البريد الإلكتروني من mail.google.com أو corp.avg.com أو أي شيء آخر.

بشكل أساسي ، يعرض AVG مستخدمي Chrome للخطر من خلال امتداده الذي من المفترض أن يجعل تصفح الويب أكثر أمانًا لمستخدمي Chrome.

استجاب AVG بإصلاح بعد عدة أيام ولكن تم رفضه لأنه لم يحل المشكلة تمامًا. حاولت الشركة الحد من التعرض من خلال قبول الطلبات فقط إذا كان الأصل يطابق avg.com.

كانت مشكلة الإصلاح هي أن AVG تحقق فقط إذا تم تضمين avg.com في الأصل الذي يمكن للمهاجمين استغلاله باستخدام نطاقات فرعية تضمنت السلسلة ، على سبيل المثال avg.com.www.example.com.

أوضح رد Google أن هناك المزيد على المحك.

لا تتطلب التعليمات البرمجية المقترحة أصلًا آمنًا ، وهذا يعني أنها تسمح ببروتوكولات http: // أو https: // عند التحقق من اسم المضيف. لهذا السبب ، يمكن لرجل الشبكة في المنتصف إعادة توجيه المستخدم إلى http://attack.avg.com ، وتوفير جافا سكريبت الذي يفتح علامة تبويب لأصل https آمنًا ، ثم إدخال رمز فيه. هذا يعني أن أي رجل في الوسط يمكنه مهاجمة مواقع https الآمنة مثل GMail و Banking وما إلى ذلك.

لنكون واضحين تمامًا: هذا يعني أن مستخدمي AVG قاموا بتعطيل SSL.

قبلت Google محاولة التحديث الثانية لـ AVG في 21 ديسمبر ، ولكن Google عطلت عمليات التثبيت المضمنة في الوقت الحالي حيث تم التحقيق في انتهاكات محتملة للسياسة.

الكلمات الختامية

عرّض AVG الملايين من مستخدمي Chrome للخطر ، وفشل في تقديم تصحيح مناسب في المرة الأولى والذي لم يحل المشكلة. هذا يمثل مشكلة كبيرة بالنسبة لشركة تحاول حماية المستخدمين من التهديدات على الإنترنت والمحلية.

سيكون من المثير للاهتمام معرفة مدى فائدة أو عدم فائدة كل امتدادات برامج الأمان التي يتم تثبيتها جنبًا إلى جنب مع برامج مكافحة الفيروسات. لن أتفاجأ إذا ظهرت النتائج أنها تضر أكثر من توفير الاستخدام للمستخدمين.

الآن أنت : ما هو حل مكافحة الفيروسات الذي تستخدمه؟