La société de sécurité AVG, bien connue pour ses produits de sécurité gratuits et commerciaux offrant une large gamme de garanties et de services liés à la sécurité, a récemment mis en danger des millions d'utilisateurs de Chrome en brisant de manière fondamentale la sécurité de Chrome dans l'une de ses extensions Web. navigateur.
Comme de nombreuses autres entreprises de sécurité proposant des produits gratuits, AVG utilise différentes stratégies de monétisation pour tirer des revenus de ses offres gratuites.
Une partie de l'équation consiste à amener les clients à passer à des versions payantes d'AVG. Pendant un certain temps, c'était la seule façon de fonctionner pour des sociétés comme AVG.
La version gratuite fonctionne bien seule mais est utilisée pour annoncer la version payante offrant des fonctionnalités avancées telles que l'anti-spam ou un pare-feu amélioré.
Les entreprises de sécurité ont commencé à ajouter d'autres sources de revenus à leurs offres gratuites. L'une des plus importantes de ces dernières années a été la création d'extensions de navigateurs et la manipulation du moteur de recherche par défaut du navigateur, d'une page d'accueil et d'un nouvel onglet associé. .
Les clients qui installent le logiciel AVG sur leur PC reçoivent un message leur demandant de protéger leur navigateur. Un clic sur ok dans l'interface installe AVG Web TuneUp dans les navigateurs compatibles avec une interaction minimale de l'utilisateur.
L'extension compte plus de 8 millions d'utilisateurs selon le Chrome Web Store (selon les propres statistiques de Google, près de neuf millions).
Cela modifie la page d'accueil, la nouvelle page à onglet et le moteur de recherche par défaut dans les navigateurs Web Chrome et Firefox s'ils sont installés sur le système.
L'extension installée requiert huit autorisations, notamment "lire et modifier toutes les données de tous les sites Web", "gérer les téléchargements", "communiquer avec les applications natives coopérantes", "gérer les applications, les extensions et les thèmes", et modifier la page d'accueil, paramètres de recherche et démarrez la page vers une page de recherche AVG personnalisée.
Chrome remarque les modifications et invite les utilisateurs proposant de restaurer les paramètres à leurs valeurs précédentes si les modifications apportées par l'extension n'étaient pas prévues.
De nombreux problèmes découlent de l'installation de l'extension, par exemple le fait qu'il modifie le paramètre de démarrage pour "ouvrir une page spécifique" en ignorant le choix de l'utilisateur (par exemple, pour poursuivre la dernière session).
Si cela ne suffit pas, il est assez difficile de modifier les paramètres modifiés sans désactiver l'extension. Si vous vérifiez les paramètres de Chrome après l'installation et l'activation d'AVG Web TuneUp, vous remarquerez que vous ne pouvez plus modifier la page d'accueil, démarrer les paramètres ou rechercher des fournisseurs.
La principale raison de ces modifications est l’argent, pas la sécurité des utilisateurs. AVG gagne lorsque les utilisateurs effectuent des recherches et cliquent sur des annonces dans le moteur de recherche personnalisé qu'ils ont créé.
Si vous ajoutez à cela que la société a récemment annoncé dans une mise à jour de sa politique de confidentialité qu'elle collecterait et vendrait des données utilisateur - non identifiables - à des tiers, vous vous retrouveriez avec un produit effrayant.
Problème de sécurité
Le 15 décembre, un employé de Google a signalé un bogue indiquant qu'AVG Web TuneUp désactivait la sécurité Web pour neuf millions d'utilisateurs de Chrome. Dans une lettre à AVG, il écrivait:
Toutes mes excuses pour mon ton dur, mais je ne suis vraiment pas ravi de l'installation de cette corbeille pour les utilisateurs de Chrome. L'extension est tellement endommagée que je ne suis pas sûre de devoir vous la rapporter comme une vulnérabilité ou de demander à l'équipe de lutte contre les abus d'extension de rechercher si c'est un PuP.
Néanmoins, ce qui me préoccupe, c’est que votre logiciel de sécurité désactive la sécurité Web pour 9 millions d’utilisateurs de Chrome, apparemment pour pouvoir détourner les paramètres de recherche et la nouvelle page à onglet.
Il existe plusieurs attaques évidentes possibles, par exemple, voici un xss universel trivial dans l'API "Naviguer" qui permet à n'importe quel site Web d'exécuter un script dans le contexte d'un autre domaine. Par exemple, attacker.com peut lire les courriers électroniques de mail.google.com, corp.avg.com ou autre.
Fondamentalement, AVG met les utilisateurs de Chrome en danger grâce à son extension, censée rendre la navigation sur le Web plus sûre pour les utilisateurs de Chrome.
AVG a répondu avec un correctif plusieurs jours plus tard, mais ce dernier a été rejeté car il ne résolvait pas complètement le problème. La société a tenté de limiter l'exposition en acceptant uniquement les demandes si l'origine correspond à avg.com.
Le problème avec le correctif était qu'AVG vérifiait uniquement si avg.com était inclus dans l'origine, ce que les attaquants pourraient exploiter à l'aide de sous-domaines contenant la chaîne, par exemple avg.com.www.example.com.
La réponse de Google a clairement montré qu'il y avait plus en jeu.
Votre code proposé ne nécessite pas d'origine sécurisée, cela signifie qu'il autorise // ou // les protocoles lors de la vérification du nom d'hôte. De ce fait, un responsable de réseau situé au centre peut rediriger un utilisateur vers //attack.avg.com et fournir un code javascript permettant d'ouvrir un onglet vers une origine https sécurisée, puis d'y injecter du code. Cela signifie qu'un homme du milieu peut attaquer des sites sécurisés https tels que GMail, Banking, etc.
Pour être tout à fait clair, cela signifie que SSL est désactivé pour les utilisateurs d’AVG.
La deuxième tentative de mise à jour d'AVG, le 21 décembre, a été acceptée par Google, mais Google a désactivé les installations en ligne pour le moment, dans la mesure où des violations de règles potentielles faisaient l'objet d'une enquête.
Mots de clôture
AVG a mis des millions d'utilisateurs de Chrome à risque et n'a pas réussi à fournir un correctif correct la première fois, ce qui n'a pas résolu le problème. C'est assez problématique pour une entreprise qui tente de protéger les utilisateurs contre les menaces sur Internet et localement.
Il serait intéressant de voir à quel point toutes ces extensions de logiciel de sécurité installées avec un logiciel antivirus sont bénéfiques ou non. Je ne serais pas surpris si les résultats montraient qu'ils faisaient plus de tort que de fournir une utilisation aux utilisateurs.
Now You : Quelle solution antivirus utilisez-vous?
