एवीजी लाखों क्रोम उपयोगकर्ताओं को जोखिम में डाल रहा है
- श्रेणी: सुरक्षा
सुरक्षा कंपनी एवीजी, जो अपने निशुल्क और वाणिज्यिक सुरक्षा उत्पादों के लिए जानी जाती है, जो सुरक्षा से संबंधित सुरक्षा उपायों और सेवाओं की एक विस्तृत श्रृंखला पेश करती हैं, ने हाल ही में वेब के लिए अपने एक एक्सटेंशन में क्रोम सुरक्षा को मूलभूत रूप से तोड़कर लाखों क्रोम उपयोगकर्ताओं को जोखिम में डाल दिया है। ब्राउज़र।
AVG, मुफ्त उत्पादों की पेशकश करने वाली कई अन्य सुरक्षा कंपनियों की तरह, अपने निःशुल्क प्रसाद से राजस्व अर्जित करने के लिए विभिन्न मुद्रीकरण रणनीतियों का उपयोग कर रहा है।
समीकरण का एक हिस्सा ग्राहकों को एवीजी के भुगतान किए गए संस्करणों में अपग्रेड करने के लिए मिल रहा है और कुछ समय के लिए, एवीजी कंपनियों के लिए काम करने का एकमात्र तरीका था।
नि: शुल्क संस्करण अपने आप ठीक काम करता है, लेकिन इसका उपयोग उस भुगतान किए गए संस्करण को विज्ञापित करने के लिए किया जा रहा है, जो इसके ऊपर एंटी-स्पैम या एक बढ़ाया फ़ायरवॉल जैसी उन्नत सुविधाएँ प्रदान कर रहा है।
सुरक्षा कंपनियों ने अपने मुफ्त प्रसाद में अन्य राजस्व धाराओं को जोड़ना शुरू किया, और हाल के समय में सबसे प्रमुख में से एक ब्राउज़र एक्सटेंशन का निर्माण और ब्राउज़र के डिफ़ॉल्ट खोज इंजन, होम पेज और इसके साथ जाने वाले नए टैब पृष्ठ का हेरफेर शामिल था। ।
जो ग्राहक अपने पीसी पर एवीजी सॉफ़्टवेयर स्थापित करते हैं, उन्हें अपने ब्राउज़र को सुरक्षित रखने के लिए अंत में एक संकेत मिलता है। इंटरफ़ेस इंस्टॉल में ओके पर क्लिक करें एवीजी वेब ट्यूनअप कम से कम उपयोगकर्ता बातचीत के साथ संगत ब्राउज़रों में।
क्रोम वेब स्टोर (Google के अपने आंकड़ों के अनुसार लगभग नौ मिलियन) के अनुसार विस्तार में 8 मिलियन से अधिक उपयोगकर्ता हैं।
ऐसा करने पर होम पेज, नया टैब पृष्ठ और क्रोम और फ़ायरफ़ॉक्स वेब ब्राउज़र में डिफ़ॉल्ट खोज प्रदाता बदल जाता है यदि सिस्टम पर स्थापित किया गया है।
जिस एक्सटेंशन को इंस्टॉल किया जाता है, वह सभी वेबसाइटों पर 'सभी डेटा को पढ़ने और बदलने की अनुमति', 'मांगे डाउनलोड', 'देशी एप्लिकेशन को सहयोग करने के साथ संवाद करने', 'एप्लिकेशन, एक्सटेंशन और थीम प्रबंधित करने' और होम पेज बदलने की अनुमति सहित आठ अनुमतियों का अनुरोध करता है। खोज सेटिंग्स और एक कस्टम AVG खोज पृष्ठ के लिए पृष्ठ प्रारंभ करें।
क्रोम परिवर्तनों को नोटिस करता है और उपयोगकर्ताओं को अपने पिछले मूल्यों की सेटिंग्स को पुनर्स्थापित करने की पेशकश करेगा, अगर एक्सटेंशन द्वारा किए गए परिवर्तन का इरादा नहीं था।
विस्तार स्थापित करने से कुछ समस्याएँ उत्पन्न होती हैं, उदाहरण के लिए, यह उपयोगकर्ताओं की पसंद (उदाहरण के लिए अंतिम सत्र जारी रखने के लिए) को अनदेखा करते हुए स्टार्टअप सेटिंग को 'एक विशिष्ट पृष्ठ खोलने' के लिए बदलता है।
यदि वह पर्याप्त खराब नहीं है, तो एक्सटेंशन को अक्षम किए बिना परिवर्तित सेटिंग्स को संशोधित करना काफी मुश्किल है। यदि आप AVG वेब ट्यूनअप की स्थापना और सक्रियण के बाद क्रोम सेटिंग्स की जांच करते हैं, तो आप देखेंगे कि आप होम पेज को संशोधित नहीं कर सकते, पैरामीटर या खोज प्रदाता शुरू नहीं कर सकते।
इन बदलावों का मुख्य कारण उपयोगकर्ता सुरक्षा नहीं बल्कि पैसा है। AVG कमाता है जब उपयोगकर्ता खोज करते हैं और उनके द्वारा बनाए गए कस्टम खोज इंजन के विज्ञापनों पर क्लिक करते हैं।
अगर आप जोड़ते हैं इस के लिए कि कंपनी ने हाल ही में एक गोपनीयता नीति अपडेट में घोषणा की कि वह तीसरे पक्ष के लिए गैर-पहचान योग्य - उपयोगकर्ता डेटा एकत्र और बेच देगी, आप अपने आप ही एक डरावने उत्पाद के साथ समाप्त होते हैं।
सुरक्षा का मसला
एक Google कर्मचारी दायर 15 दिसंबर को एक बग रिपोर्ट में कहा गया था कि AVG वेब ट्यूनअप नौ मिलियन क्रोम उपयोगकर्ताओं के लिए वेब सुरक्षा को अक्षम कर रहा था। AVG को लिखे पत्र में उन्होंने लिखा:
मेरे कठोर स्वर के लिए क्षमा याचना, लेकिन मैं वास्तव में क्रोम उपयोगकर्ताओं के लिए लगाए जा रहे इस कचरे के बारे में रोमांचित नहीं हूं। विस्तार इतनी बुरी तरह से टूटा हुआ है कि मुझे यकीन नहीं है कि क्या मैं इसे एक भेद्यता के रूप में आपको रिपोर्ट कर सकता हूं, या एक्सटेंशन दुरुपयोग टीम को यह जांचने के लिए कह रहा हूं कि क्या यह एक पुप है।
फिर भी, मेरी चिंता यह है कि आपका सुरक्षा सॉफ्टवेयर 9 मिलियन क्रोम उपयोगकर्ताओं के लिए वेब सुरक्षा को अक्षम कर रहा है, जाहिरा तौर पर ताकि आप खोज सेटिंग्स और नए टैब पृष्ठ को हाईजैक कर सकें।
उदाहरण के लिए, कई स्पष्ट हमले संभव हैं, यहाँ 'नेविगेट' एपीआई में एक तुच्छ सार्वभौमिक xss है जो किसी भी वेबसाइट को किसी अन्य डोमेन के संदर्भ में स्क्रिप्ट निष्पादित करने की अनुमति दे सकता है। उदाहरण के लिए, attacker.com mail.google.com, या corp.avg.com, या जो भी हो, से ईमेल पढ़ सकते हैं।
मूल रूप से, एवीजी क्रोम उपयोगकर्ताओं को अपने विस्तार के माध्यम से जोखिम में डाल रहा है जो माना जाता है कि क्रोम उपयोगकर्ताओं के लिए वेब ब्राउज़िंग को सुरक्षित बनाना चाहिए।
एवीजी ने कई दिनों बाद एक जवाब के साथ जवाब दिया लेकिन इसे अस्वीकार कर दिया गया क्योंकि यह पूरी तरह से समस्या का समाधान नहीं करता था। यदि कंपनी avg.com से मेल खाती है तो केवल अनुरोध स्वीकार करके एक्सपोज़र को सीमित करने की कोशिश की गई।
फिक्स के साथ मुद्दा यह था कि AVG केवल यह सत्यापित करता था कि avg.com को मूल में शामिल किया गया था जो हमलावर उप-डोमेन का उपयोग करके शोषण कर सकते थे जिसमें स्ट्रिंग शामिल थे, उदा। avg.com.www.example.com।
Google की प्रतिक्रिया ने यह स्पष्ट कर दिया कि दांव पर अधिक था।
आपके प्रस्तावित कोड को एक सुरक्षित मूल की आवश्यकता नहीं है, इसका मतलब है कि यह होस्टनाम की जांच करते समय http: // या https: // प्रोटोकॉल की अनुमति देता है। इस वजह से, बीच में एक नेटवर्क मैन किसी उपयोगकर्ता को http://attack.avg.com पर रीडायरेक्ट कर सकता है, और जावास्क्रिप्ट की आपूर्ति कर सकता है जो एक सुरक्षित https मूल के लिए एक टैब खोलता है, और फिर इसमें कोड इंजेक्ट करता है। इसका मतलब यह है कि बीच का एक व्यक्ति जीएमटी, बैंकिंग, इत्यादि जैसी सुरक्षित https साइटों पर हमला कर सकता है।
बिल्कुल स्पष्ट होने के लिए: इसका मतलब है कि AVG उपयोगकर्ताओं के पास SSL अक्षम है।
21 दिसंबर को एवीजी के दूसरे अपडेट प्रयास को Google द्वारा स्वीकार किया गया था, लेकिन Google ने इनलाइन संस्थापनों को अक्षम कर दिया था, जब तक संभव हो कि नीति के उल्लंघन की जांच की गई थी।
समापन शब्द
एवीजी ने लाखों क्रोम उपयोगकर्ताओं को जोखिम में डाल दिया, और पहली बार एक उचित पैच देने में विफल रहा जिसने समस्या को हल नहीं किया। यह एक कंपनी के लिए काफी समस्याग्रस्त है जो उपयोगकर्ताओं को इंटरनेट और स्थानीय स्तर पर खतरों से बचाने की कोशिश कर रही है।
यह देखना दिलचस्प होगा कि उन सभी सुरक्षा सॉफ्टवेयर एक्सटेंशनों को कितना फायदेमंद है या नहीं, एंटीवायरस सॉफ़्टवेयर के साथ इंस्टॉल हो जाते हैं। मुझे आश्चर्य नहीं होगा यदि परिणाम वापस आए कि वे उपयोगकर्ताओं को उपयोग प्रदान करने की तुलना में अधिक नुकसान करते हैं।
अब तुम : आप किस एंटीवायरस समाधान का उपयोग कर रहे हैं?