광범위한 보안 관련 보호 기능 및 서비스를 제공하는 무료 및 상업용 보안 제품으로 잘 알려진 보안 회사 AVG는 최근 웹 확장 중 하나에서 기본적인 방식으로 Chrome 보안을 중단하여 수백만 명의 Chrome 사용자를 위험에 빠뜨 렸습니다. 브라우저.
무료 제품을 제공하는 다른 많은 보안 회사와 마찬가지로 AVG는 다른 수익 창출 전략을 사용하여 무료 제품으로 수익을 창출합니다.
이 방정식의 한 부분은 고객이 유료 버전의 AVG로 업그레이드하도록하는 것이며, 이는 AVG와 같은 회사에서 일하는 유일한 방법이었습니다.
무료 버전은 자체적으로는 잘 작동하지만 스팸 방지 또는 고급 방화벽과 같은 고급 기능을 제공하는 유료 버전을 광고하는 데 사용되고 있습니다.
보안 회사는 무료 오퍼링에 다른 수입원을 추가하기 시작했으며 최근 가장 눈에 띄는 회사 중 하나는 브라우저 확장 프로그램 생성 및 브라우저 기본 검색 엔진, 홈 페이지 및 새 탭 페이지 조작과 관련이 있습니다. .
PC에 AVG 소프트웨어를 설치 한 고객은 결국 브라우저를 보호하라는 메시지가 표시됩니다. 인터페이스에서 확인을 클릭하면 최소한의 사용자 상호 작용으로 호환되는 브라우저에 AVG Web TuneUp이 (가) 설치됩니다.
Chrome 웹 스토어에 따르면이 확장 프로그램의 사용자 수는 8 백만 명이 넘습니다 (Google의 통계에 따르면 거의 9 백만 명).
이렇게하면 시스템에 설치된 경우 Chrome 및 Firefox 웹 브라우저에서 홈페이지, 새 탭 페이지 및 기본 검색 공급자가 변경됩니다.
설치되는 확장 프로그램은 "모든 웹 사이트의 모든 데이터를 읽고 변경", "다운로드 관리", "협력하는 기본 응용 프로그램과 통신", "앱, 확장 프로그램 및 테마 관리"및 홈페이지 변경, 검색 설정 및 시작 페이지를 사용자 정의 AVG 검색 페이지로
Chrome은 변경 사항을 확인하고 확장 프로그램의 변경 사항이 아닌 경우 사용자에게 설정을 이전 값으로 복원하라는 메시지를 표시합니다.
확장 프로그램을 설치하면 사용자 선택을 무시하고 시작 설정을 "특정 페이지 열기"로 변경하는 등의 몇 가지 문제가 발생합니다 (예 : 마지막 세션 계속).
그것이 나쁘지 않은 경우 확장을 비활성화하지 않고 변경된 설정을 수정하는 것은 매우 어렵습니다. AVG Web TuneUp 설치 및 활성화 후 Chrome 설정을 확인하면 더 이상 홈페이지를 수정하거나 매개 변수를 시작하거나 검색 공급자를 찾을 수 없습니다.
이러한 변경이 이루어지는 주된 이유는 사용자 보안이 아니라 돈 때문입니다. AVG는 사용자가 생성 한 사용자 정의 검색 엔진에서 사용자가 검색하고 광고를 클릭하면 수익을 얻습니다.
회사가 최근에 개인 정보 보호 정책 업데이트에서 사용자를 식별 할 수없는 사용자 데이터를 수집하여 제 3 자에게 판매한다고 발표 한 내용에 추가하면 자체적으로 무서운 제품을 얻게됩니다.
보안 문제
Google 직원이 12 월 15 일에 AVG Web TuneUp이 (가) 9 백만 명의 Chrome 사용자에 대한 웹 보안을 사용 중지하고 있다는 버그 보고서를 제출했습니다. 그는 AVG에게 보낸 편지에서 다음과 같이 썼습니다.
가혹한 어조에 대해 사과하지만 Chrome 사용자를 위해이 쓰레기가 설치되는 것에 대해 정말 흥분하지 않습니다. 확장 프로그램이 심각하게 손상되어 확장 프로그램을 취약점으로보고해야하는지 확장 확장 팀에 PuP인지 조사하도록 요청할지 확실하지 않습니다.
그럼에도 불구하고 보안 문제로 인해 9 백만 명의 Chrome 사용자가 웹 보안을 사용하지 못하게되어 검색 설정과 새 탭 페이지를 가로 챌 수 있습니다.
여러 가지 명백한 공격이있을 수 있습니다. 예를 들어 "네비 게이트"API에 간단한 범용 xss가있어 어떤 웹 사이트에서도 다른 도메인의 컨텍스트에서 스크립트를 실행할 수 있습니다. 예를 들어, attack.com은 mail.google.com 또는 corp.avg.com 또는 기타 다른 곳에서 이메일을 읽을 수 있습니다.
기본적으로 AVG는 확장 기능을 통해 Chrome 사용자를 위험에 처하게하므로 Chrome 사용자에게 웹 브라우징을 더 안전하게해야합니다.
AVG는 며칠 후 수정으로 응답했지만 문제가 완전히 해결되지 않아 거부되었습니다. 회사는 원점이 avg.com과 일치하는 경우에만 요청을 수락하여 노출을 제한하려고했습니다.
이 수정의 문제는 AVG가 avg.com이 원본에 포함 된 경우 (예 : avg.com.www.example.com) 문자열을 포함하는 하위 도메인을 사용하여 악용 할 수있는 경우에만 확인한다는 것입니다.
구글의 반응은 더 많은 위험이 있음을 분명히했다.
제안 된 코드에는 안전한 출처가 필요하지 않습니다. 즉, 호스트 이름을 확인할 때 프로토콜을 허용합니다. 이 때문에 중간에있는 네트워크 담당자는 사용자를 //attack.avg.com으로 리디렉션하고 안전한 https 출처에 탭을 여는 자바 스크립트를 제공 한 다음 코드를 삽입 할 수 있습니다. 즉, 중간에있는 사람이 GMail, Banking 등과 같은 안전한 https 사이트를 공격 할 수 있습니다.
명확하게 말하면 AVG 사용자가 SSL을 사용하지 않도록 설정했음을 의미합니다.
12 월 21 일 AVG의 두 번째 업데이트 시도는 Google에 의해 승인되었지만 정책 위반이 조사 될 때까지 인라인 설치를 비활성화했습니다.
닫는 단어
AVG는 수백만 명의 Chrome 사용자를 위험에 빠뜨 렸으며 처음에는 문제를 해결하지 못한 적절한 패치를 제공하지 못했습니다. 인터넷 및 로컬 위협으로부터 사용자를 보호하려는 회사에게는 문제가됩니다.
안티 바이러스 소프트웨어와 함께 설치되는 모든 보안 소프트웨어 확장이 얼마나 유익한 지 알면 흥미로울 것입니다. 결과가 사용자에게 사용하는 것보다 더 해롭다는 결과가 나올 때 놀라지 않을 것입니다.
Now You : 어떤 바이러스 백신 솔루션을 사용하고 있습니까?
