Perusahaan keamanan AVG, yang terkenal dengan produk keamanan gratis dan komersialnya yang menawarkan berbagai perlindungan dan layanan terkait keamanan, telah menempatkan jutaan pengguna Chrome dalam bahaya baru-baru ini dengan memecah keamanan Chrome dengan cara mendasar dalam salah satu ekstensi untuk web browser.
AVG, seperti banyak perusahaan keamanan lainnya yang menawarkan produk gratis, menggunakan strategi monetisasi yang berbeda untuk mendapatkan penghasilan dari penawaran gratisnya.
Salah satu bagian dari persamaan ini adalah membuat pelanggan untuk meningkatkan ke versi berbayar AVG dan untuk sementara waktu, itulah satu-satunya cara bekerja untuk perusahaan seperti AVG.
Versi gratis berfungsi dengan baik sendiri tetapi sedang digunakan untuk mengiklankan versi berbayar yang menawarkan fitur-fitur canggih seperti anti-spam atau firewall yang ditingkatkan di atas itu.
Perusahaan keamanan mulai menambahkan aliran pendapatan lain ke penawaran gratis mereka, dan salah satu yang paling menonjol belakangan ini melibatkan pembuatan ekstensi peramban dan manipulasi mesin pencari default peramban, beranda, dan laman tab baru yang menyertainya .
Pelanggan yang menginstal perangkat lunak AVG pada PC mereka pada akhirnya meminta untuk melindungi browser mereka. Klik ok di antarmuka menginstal AVG Web TuneUp di browser yang kompatibel dengan interaksi pengguna minimal.
Ekstensi ini memiliki lebih dari 8 juta pengguna menurut Toko Web Chrome (menurut statistik Google sendiri hampir sembilan juta).
Melakukan hal itu akan mengubah halaman beranda, halaman tab baru dan penyedia pencarian default di browser web Chrome dan Firefox jika diinstal pada sistem.
Ekstensi yang terinstal meminta delapan izin termasuk izin untuk "membaca dan mengubah semua data di semua situs web", "unduhan kudis", "berkomunikasi dengan aplikasi asli yang bekerja sama", "mengelola aplikasi, ekstensi, dan tema", dan mengubah beranda, pengaturan pencarian dan mulai halaman ke halaman pencarian AVG khusus.
Chrome memperhatikan perubahan dan akan meminta pengguna yang menawarkan untuk mengembalikan pengaturan ke nilai sebelumnya jika perubahan yang dilakukan oleh ekstensi tidak dimaksudkan.
Beberapa masalah timbul karena menginstal ekstensi, misalnya mengubah pengaturan awal untuk "membuka halaman tertentu" dengan mengabaikan pilihan pengguna (misalnya untuk melanjutkan sesi terakhir).
Jika itu tidak cukup buruk, cukup sulit untuk mengubah pengaturan yang diubah tanpa menonaktifkan ekstensi. Jika Anda memeriksa pengaturan Chrome setelah instalasi dan aktivasi AVG Web TuneUp, Anda akan melihat bahwa Anda tidak dapat memodifikasi halaman beranda, memulai parameter atau mencari penyedia lagi.
Alasan utama mengapa perubahan ini dilakukan adalah uang, bukan keamanan pengguna. AVG menghasilkan ketika pengguna melakukan pencarian dan mengklik iklan pada mesin pencari kustom yang telah mereka buat.
Jika Anda menambahkan ini bahwa perusahaan mengumumkan baru-baru ini dalam pembaruan kebijakan privasi bahwa ia akan mengumpulkan dan menjual - data pengguna yang tidak dapat diidentifikasi - kepada pihak ketiga, Anda berakhir dengan produk yang menakutkan sendiri.
Masalah keamanan
Seorang karyawan Google mengajukan laporan bug pada 15 Desember yang menyatakan bahwa AVG Web TuneUp menonaktifkan keamanan web untuk sembilan juta pengguna Chrome. Dalam sebuah surat kepada AVG ia menulis:
Permintaan maaf untuk nada kasar saya, tapi saya benar-benar tidak senang dengan sampah ini dipasang untuk pengguna Chrome. Ekstensi ini rusak parah sehingga saya tidak yakin apakah saya harus melaporkannya kepada Anda sebagai kerentanan, atau meminta tim penyalahgunaan ekstensi untuk menyelidiki apakah itu PuP.
Namun demikian, kekhawatiran saya adalah bahwa perangkat lunak keamanan Anda menonaktifkan keamanan web untuk 9 juta pengguna Chrome, sehingga Anda dapat membajak pengaturan pencarian dan halaman tab baru.
Ada beberapa serangan jelas yang mungkin terjadi, misalnya, ini adalah xss universal yang sepele di API "navigasi" yang dapat memungkinkan situs web mana pun untuk mengeksekusi skrip dalam konteks domain lainnya. Misalnya, attacker.com dapat membaca email dari mail.google.com, atau corp.avg.com, atau apa pun.
Pada dasarnya, AVG membahayakan pengguna Chrome melalui ekstensi yang seharusnya membuat penjelajahan web lebih aman bagi pengguna Chrome.
AVG merespons dengan perbaikan beberapa hari kemudian tetapi ditolak karena tidak menyelesaikan masalah sepenuhnya. Perusahaan mencoba membatasi paparan dengan hanya menerima permintaan jika asal cocok dengan avg.com.
Masalah dengan perbaikannya adalah AVG hanya memverifikasi jika avg.com dimasukkan dalam asal yang dapat dieksploitasi oleh penyerang dengan menggunakan subdomain yang termasuk string, mis. Avg.com.www.example.com.
Respons Google menjelaskan bahwa ada lebih banyak yang dipertaruhkan.
Kode yang Anda usulkan tidak memerlukan asal yang aman, yang berarti ia mengizinkan // atau // protokol saat memeriksa nama host. Karena itu, seorang network man di tengah dapat mengarahkan pengguna ke //attack.avg.com, dan menyediakan javascript yang membuka tab ke asal https yang aman, dan kemudian menyuntikkan kode ke dalamnya. Ini berarti bahwa seorang pria di tengah dapat menyerang situs https aman seperti GMail, Perbankan, dan sebagainya.
Agar benar-benar jelas: ini berarti bahwa pengguna AVG menonaktifkan SSL.
Upaya pembaruan kedua AVG pada 21 Desember diterima oleh Google, tetapi Google memang menonaktifkan instalasi sebaris untuk sementara waktu karena kemungkinan pelanggaran kebijakan diselidiki.
Kata Penutup
AVG membahayakan jutaan pengguna Chrome, dan gagal memberikan tambalan yang tepat saat pertama kali tidak menyelesaikan masalah. Itu cukup bermasalah untuk perusahaan yang mencoba melindungi pengguna dari ancaman di Internet dan lokal.
Akan menarik untuk melihat seberapa menguntungkan, atau tidak, semua ekstensi perangkat lunak keamanan itu dipasang bersama perangkat lunak antivirus. Saya tidak akan terkejut jika hasilnya kembali bahwa mereka melakukan lebih banyak kerusakan daripada menyediakan digunakan untuk pengguna.
Sekarang Anda : Solusi antivirus mana yang Anda gunakan?
