szukaj

29.12.2015 | 11:53

avatar

Adam Haertle

Uwaga na antywirusa AVG oraz jego wtyczkę AVG Web TuneUp

Wydawać by się mogło, że od programów antywirusowych powinniśmy oczekiwać wyższego poziomu bezpieczeństwa. Niestety często jest wprost odwrotnie i okazuje się, że najgorsze błędy znaleźć można w programach, które mają nas przed chronić.

Tavis Ormandy, członek zespołu Google Project Zero, przygląda się ostatnio programom antywirusowym i to, co w nich odnajduje, jeży włos na głowie. Kolejną jego ofiarą jest AVG, a konkretnie wtyczka do Chrome poprawiająca bezpieczeństwo użytkownika. Nie dość, że AVG popełniło w niej fatalne błędy, to jeszcze nie potrafiło ich naprawić.

9 milionów zagrożonych użytkowników

Wraz z instalacją antywirusa AVG instalowana jest także wtyczka do przeglądarki Chrome o nazwie AVG Web TuneUp. Według statystyk Google zainstalowało ją ponad 9 milionów użytkowników. Wtyczka w założeniu ma oceniać pod kątem bezpieczeństwa wyniki wyszukiwania, poprawiać prywatność użytkowników w sieciach społecznościowych i lepiej czyścić historię przeglądania. W rzeczywistości jej działanie mocno przypomina niechciane dodatki do przeglądarek a sam proces jej instalacji przebiega w dość skomplikowany sposób by Google nie uznało jej za złośliwe oprogramowanie. Nie to jest jednak najgorsze.

Reklama wtyczki

Reklama wtyczki

Tavis odkrył, że wtyczka dodaje do Chrome wiele API JavaScriptu by przejmować wyniki wyszukiwania i ustawienia strony głównej. Przy okazji niestety umożliwia wykonywanie JS w kontekście dowolnej domeny (skutkiem może być np. kradzież haseł lub ciastek) oraz zdalne przeglądanie historii odwiedzanych stron. Tavis poprzestał na tych dwóch błędach i wysłał zgłoszenie do AVG.

Poprawiamy szybko i nieskutecznie

AVG zareagowało dosyć szybko. Po czterech dniach przesłało poprawioną wersję wtyczki. Poprawka wyglądała tak:

var match = event.origin.match(/https?:\/\/.*\.avg\.com/i);

if (match ! null {
...
}

Usunięto zatem możliwość wykonania skryptu w dowolnej domenie poprzez dodanie warunku, że domena źródłowa musi zawierać ciąg avg.com. Oznacza to, że wystarczy osadzić skrypt w domenie avg.com.adres.com by wstrzyknąć go do dowolnej innej witryny, np. strony banku. Tavis ponownie zgłosił błąd.

Następnego dnia AVG przesłało kolejną wersję, tym razem z dwiema domenami na białej liście:

mysearch.avg.com
webtuneup.avg.com

Tavis pozostał jednak nieugięty, ponieważ wystarczyło znaleźć błąd typu XSS w jednej z tych domen, by ponownie przeprowadzić identyczny atak. Oczywiście taki błąd dość szybko zlokalizował.

http://webtuneup.avg.com/static/dist/app/4.0.5.0/interstitial.html?risk=%3Cimg%20src=x%20onerror=alert(1)%3E&searchParams=%7B%22lang%22%3A%22en%22%2C%22pid%22%3A%22pid%22%2C%22v%22%3A%22vv%22%7D

Błąd został zgłoszony i poprawiony, jednak sposób, w jaki AVG napisało wtyczkę i jak próbowało ją poprawić sugeruje, że lepiej trzymać się od niej z daleka – zatem jeśli z AVG korzystacie, lepiej ją usuńcie. Rekomendacja dotyczy wszystkich przeglądarek, nie tylko Chrome.

PS. Do samego antywirusa nie mamy zastrzeżeń – trzeba jednak pamiętać o ograniczeniach tej kategorii zabezpieczeń, która nie zastąpi zdrowego rozsądku i solidnego szkolenia.

Powrót

Komentarze

  • avatar
    2015.12.29 11:59 Daniel

    Zawsze czytam wasze artykuł w przerwie od programowania ( przerwa na jedzenie ). Dzisiaj musiałem czytać stare artykuły bo nic nowego nie dodaliście do czasu gdy nie skończyłem jeść. Ehh… Równo z ostatnim kęsem dodaliście artykuł :D Tajming

    Odpowiedz
  • avatar
    2015.12.29 13:21 echunio

    Dobrze że przynajmniej AVG ją napisało, w niektórych przypadkach
    takie wtyczki produkują chyba gdzieś w Bangladeszu a firmy AV dodają później wyłącznie logo i oczywiście instalują gdzie popadnie, dostałem taką jedną w preinstalowanym prezencie do mojego Asusa 850m. Faktycznie wpływ wtyczek ogólnie na bezpieczeństwo przeglądarek jest katastrofalny, wszystkie klasy błędów i powinno się ten stan chyba uwzględniać w jakiś firmowych politykach (najlepiej totalnie zakazywać instalacji wszelkich dodatków jeśli nie przejdą testów)

    Odpowiedz
    • avatar
      2015.12.29 14:19 Mariusz

      Świetny komentarz. Mi osobiście nie robi różnicy kto partoli oprogramowanie: hamerykańczyk, europejczyk czy indiańczyk. Bubel jej bubel, co za różnica czy go napisał AVG, jakiś outsourcing z Indii czy sam Duch Święty?

      Odpowiedz
      • avatar
        2015.12.29 15:37 echo

        Tak różnica przynajmniej w teorii że większe buble robią outsorsi z Bangladeszu którym mało się płaci niż „poważne firmy”
        Robiłeś kiedyś testy penetracyjne lub testowałeś jakiekolwiek oprogramowanie ? Ja robiłem i z doświadczenia powiem ci że
        stosunek wynosi średnio jakieś 40:3 40 w przypadku systemów/aplikacji robionych przez firmę „krzak” a 3 w przypadku znanych mających duże doświadczenie i ugruntowaną pozycje na rynku
        40:3 oczywiście w błędach, ale to oczywiście nie jest regułą

        Odpowiedz
        • avatar
          2015.12.29 15:59 echo

          Przynajmniej odnoszę takie wrażenie że łatwiej znaleźć błędy w produktach tworzonych przez krzaki i jest ich więcej niż w innych wypadkach. Weź sobie na przykład SharePoint vs jakiśCms ze strony dla cms-ów albo outlook-a i klienta pocztowego napisanego przez Cośtam Sp Zoo – widać chyba różnice. We wszystkim są błędy ale w tych pierwszych wypadkach dużo trudniej je znaleźć, zresztą tą różnice widać mn. na Bugtrakach

          Odpowiedz
      • avatar
        2015.12.29 16:06 echo

        No i najbardziej oczywista kwestia to security w cyklu życia oprogramowania w firmach krzak pewnie nie biorą tego pod uwagę
        bo tam programista jest all-in-one dopóki go nie wymienią na innego.

        Odpowiedz
  • avatar
    2015.12.29 13:59 rjumpjum

    w firefox ta wtyczka więcej psuje niż poprawia. niestety jest uciążliwa bo chce się instalować niemal przy każdym restarcie przeglądarki, otwierając propozycje instalacji w nowej zakładce. więc wiele osób dla świętego spokoju klika.

    Odpowiedz
  • avatar
    2015.12.29 14:46 Piotr

    Polityka firmy AVG jest bardzo przykra niestety. Najpierw zmiana polityki prywatności, a teraz to. Żegnam się z tym oprogramowaniem, wole przejść sobie na Kaspersky.

    Odpowiedz
  • avatar
    2015.12.29 16:49 mati2002

    hah a ja mam linuxa i na niego nie ma wirusów

    Odpowiedz
    • avatar
      2015.12.29 23:15 Matthew2003

      Poprawiłeś mi humor. Essa!

      Odpowiedz
  • avatar
    2015.12.29 19:26 s

    Jak sie ciesze, ze nie musze uzywac oprogramowania antywirusowego. Ale gdybym musial to juz wiem ktora firma niepowaznie podchodzi do tematu bezpieczenstwa.

    Odpowiedz
    • avatar
      2015.12.29 20:40 BloodMan

      Ależ to nie jest prawda – do samego AVG Antivirus zastrzeżeń nie ma – więc takie pisanie że niepoważnie podchodzą nie jest prawdziwe.
      Dział odpowiedzialny za TuneUp (czyli pewnie ktoś z innej firemki co ją AVG kupiło) dał d*, a nie same AVG. Natomiast AVG wine ponosi że w ogóle takie g* podsyła ludziom – bo te podsyłanie to wygląda jak wciskanie bloatwaru

      Odpowiedz
  • avatar
    2015.12.29 20:51 Fil

    Solidnego szkolenia za które Ty drogi frajerze tak Ty. Masz zapłacić.

    Odpowiedz
  • avatar
    2015.12.29 22:11 anonymous

    Mnie bardziej zastanawia: po co im historia przeglądania użytkownika? Kolejna inwigilacja?

    Odpowiedz
  • avatar
    2015.12.29 22:28 aaa

    Pewnie kod samego antywirusa jest równie wyrafinowany jak te poprawki.

    Odpowiedz
  • avatar
    2015.12.29 22:38 m.

    https://www.cvedetails.com/cve/CVE-2015-6792/

    „The MIDI subsystem in Google Chrome before 47.0.2526.106 does not properly handle the sending of data, which allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via unspecified vectors, related to midi_manager.cc, midi_manager_alsa.cc, and midi_manager_mac.cc, a different vulnerability than CVE-2015-8664.”

    Bugi w kodzie się zdarzają każdemu, nawet Google.

    Odpowiedz
  • avatar
    2015.12.30 01:20 Robert

    „Do samego antywirusa nie mamy zastrzeżeń” – rozumiem, że autorzy portalu przeprowadzili analizę silnika tego AV, i stwierdzili, że jest dobrze napisany pod względem bezpieczeństwa, jego moduły parserów są zaudytowane, wytestowane (np. poprzez fuzzing, ale nie tylko), oraz zsandboxowane? :))

    Odpowiedz
  • avatar
    2015.12.30 01:24 Robert

    Chciałbym zauważyć, że dyskusja o tym „który AV lepszy” nie ma większego sensu w tym wątku komentarza.

    Optymistycznie 1% czytających/piszących kiedykolwiek przeprowadziło solidny RE silnika AV, oraz przetestowało parsery AV chociażby poprzez fuzzing.

    Jezeli nie, to mówienie, że „AV1 bezpieczniejszy od AV2” to wróżenie z fusów. Tym bardziej mówienie, że AVG to „porażka” (bo i jest), nie mając pojęcia o tym jak solidne są inne silniki AV, niewiele nam daje prócz zamętu i argumentów opartych o anegdoty.

    Odpowiedz
    • avatar
      2015.12.30 19:50 ZygmuntFreud

      Drogi Robercie popatrz na to z innej strony może nikt nie ma nic do silnika AV dlatego że nie mieści się w tym 1% którzy kiedykolwiek przeprowadzili solidne RE silnika oraz przetestowało parsery więc nie ma podstaw aby go nie polecać bądź polecać ?
      Idąc w tym kierunku, nie możemy polecać lub nie polecać niczego
      chyba że będziemy bazować na badaniach innych oczywiście jeżeli są to faktyczne badania i nie wynikają one z potrzeb marketingowych
      Z AV moim zdaniem jest taki zasadniczy problem że w gruncie rzeczy trudno je zastąpić, a są dziurawe tworzą idealny wektor ataku wielu rzeczy nie wyłapują i dla ludzi z bezp. są często uciążliwym dodatkiem (ja nie mam żadnego) ale nie chodzi przecież o ludzi z bezp. a co ma chronić na poziomie Hosta panią Grażynkę przed nią samą ? Oczywiście w świecie idealnym pewnie można by przyjąć że szkolenia/edukacja poprawianie świadomości no ale bądźmy realistami ;]

      Odpowiedz
  • avatar
    2015.12.30 12:07 Rozbawiony

    AVG od lat jest programem szpiegowskim i inwigilacyjnym. Ostatnia afera z Chinczykami tylko to potwierdza.

    Odpowiedz
    • avatar
      2016.01.05 11:14 INQO

      Stara zasada mówi, że nie ma nic za darmo – darmowe wersje AV muszą na siebie zarobić ;-)

      Odpowiedz
  • avatar
    2015.12.30 20:14 zakius

    a zawsze powtarzam: antywirusom na a (a wręcz na av) mówimy nie! są często groźniejsze od większości szkodliwego oprogramowania…

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na antywirusa AVG oraz jego wtyczkę AVG Web TuneUp

Komentarze