Wydawać by się mogło, że od programów antywirusowych powinniśmy oczekiwać wyższego poziomu bezpieczeństwa. Niestety często jest wprost odwrotnie i okazuje się, że najgorsze błędy znaleźć można w programach, które mają nas przed chronić.
Tavis Ormandy, członek zespołu Google Project Zero, przygląda się ostatnio programom antywirusowym i to, co w nich odnajduje, jeży włos na głowie. Kolejną jego ofiarą jest AVG, a konkretnie wtyczka do Chrome poprawiająca bezpieczeństwo użytkownika. Nie dość, że AVG popełniło w niej fatalne błędy, to jeszcze nie potrafiło ich naprawić.
9 milionów zagrożonych użytkowników
Wraz z instalacją antywirusa AVG instalowana jest także wtyczka do przeglądarki Chrome o nazwie AVG Web TuneUp. Według statystyk Google zainstalowało ją ponad 9 milionów użytkowników. Wtyczka w założeniu ma oceniać pod kątem bezpieczeństwa wyniki wyszukiwania, poprawiać prywatność użytkowników w sieciach społecznościowych i lepiej czyścić historię przeglądania. W rzeczywistości jej działanie mocno przypomina niechciane dodatki do przeglądarek a sam proces jej instalacji przebiega w dość skomplikowany sposób by Google nie uznało jej za złośliwe oprogramowanie. Nie to jest jednak najgorsze.
Reklama wtyczki
Tavis odkrył, że wtyczka dodaje do Chrome wiele API JavaScriptu by przejmować wyniki wyszukiwania i ustawienia strony głównej. Przy okazji niestety umożliwia wykonywanie JS w kontekście dowolnej domeny (skutkiem może być np. kradzież haseł lub ciastek) oraz zdalne przeglądanie historii odwiedzanych stron. Tavis poprzestał na tych dwóch błędach i wysłał zgłoszenie do AVG.
Poprawiamy szybko i nieskutecznie
AVG zareagowało dosyć szybko. Po czterech dniach przesłało poprawioną wersję wtyczki. Poprawka wyglądała tak:
var match = event.origin.match(/https?:\/\/.*\.avg\.com/i);
if (match ! null {
...
}
Usunięto zatem możliwość wykonania skryptu w dowolnej domenie poprzez dodanie warunku, że domena źródłowa musi zawierać ciąg avg.com. Oznacza to, że wystarczy osadzić skrypt w domenie avg.com.adres.com by wstrzyknąć go do dowolnej innej witryny, np. strony banku. Tavis ponownie zgłosił błąd.
Następnego dnia AVG przesłało kolejną wersję, tym razem z dwiema domenami na białej liście:
mysearch.avg.com webtuneup.avg.com
Tavis pozostał jednak nieugięty, ponieważ wystarczyło znaleźć błąd typu XSS w jednej z tych domen, by ponownie przeprowadzić identyczny atak. Oczywiście taki błąd dość szybko zlokalizował.
http://webtuneup.avg.com/static/dist/app/4.0.5.0/interstitial.html?risk=%3Cimg%20src=x%20onerror=alert(1)%3E&searchParams=%7B%22lang%22%3A%22en%22%2C%22pid%22%3A%22pid%22%2C%22v%22%3A%22vv%22%7D
Błąd został zgłoszony i poprawiony, jednak sposób, w jaki AVG napisało wtyczkę i jak próbowało ją poprawić sugeruje, że lepiej trzymać się od niej z daleka – zatem jeśli z AVG korzystacie, lepiej ją usuńcie. Rekomendacja dotyczy wszystkich przeglądarek, nie tylko Chrome.
PS. Do samego antywirusa nie mamy zastrzeżeń – trzeba jednak pamiętać o ograniczeniach tej kategorii zabezpieczeń, która nie zastąpi zdrowego rozsądku i solidnego szkolenia.
Komentarze
Zawsze czytam wasze artykuł w przerwie od programowania ( przerwa na jedzenie ). Dzisiaj musiałem czytać stare artykuły bo nic nowego nie dodaliście do czasu gdy nie skończyłem jeść. Ehh… Równo z ostatnim kęsem dodaliście artykuł :D Tajming
Dobrze że przynajmniej AVG ją napisało, w niektórych przypadkach
takie wtyczki produkują chyba gdzieś w Bangladeszu a firmy AV dodają później wyłącznie logo i oczywiście instalują gdzie popadnie, dostałem taką jedną w preinstalowanym prezencie do mojego Asusa 850m. Faktycznie wpływ wtyczek ogólnie na bezpieczeństwo przeglądarek jest katastrofalny, wszystkie klasy błędów i powinno się ten stan chyba uwzględniać w jakiś firmowych politykach (najlepiej totalnie zakazywać instalacji wszelkich dodatków jeśli nie przejdą testów)
Świetny komentarz. Mi osobiście nie robi różnicy kto partoli oprogramowanie: hamerykańczyk, europejczyk czy indiańczyk. Bubel jej bubel, co za różnica czy go napisał AVG, jakiś outsourcing z Indii czy sam Duch Święty?
Tak różnica przynajmniej w teorii że większe buble robią outsorsi z Bangladeszu którym mało się płaci niż „poważne firmy”
Robiłeś kiedyś testy penetracyjne lub testowałeś jakiekolwiek oprogramowanie ? Ja robiłem i z doświadczenia powiem ci że
stosunek wynosi średnio jakieś 40:3 40 w przypadku systemów/aplikacji robionych przez firmę „krzak” a 3 w przypadku znanych mających duże doświadczenie i ugruntowaną pozycje na rynku
40:3 oczywiście w błędach, ale to oczywiście nie jest regułą
Przynajmniej odnoszę takie wrażenie że łatwiej znaleźć błędy w produktach tworzonych przez krzaki i jest ich więcej niż w innych wypadkach. Weź sobie na przykład SharePoint vs jakiśCms ze strony dla cms-ów albo outlook-a i klienta pocztowego napisanego przez Cośtam Sp Zoo – widać chyba różnice. We wszystkim są błędy ale w tych pierwszych wypadkach dużo trudniej je znaleźć, zresztą tą różnice widać mn. na Bugtrakach
No i najbardziej oczywista kwestia to security w cyklu życia oprogramowania w firmach krzak pewnie nie biorą tego pod uwagę
bo tam programista jest all-in-one dopóki go nie wymienią na innego.
w firefox ta wtyczka więcej psuje niż poprawia. niestety jest uciążliwa bo chce się instalować niemal przy każdym restarcie przeglądarki, otwierając propozycje instalacji w nowej zakładce. więc wiele osób dla świętego spokoju klika.
Polityka firmy AVG jest bardzo przykra niestety. Najpierw zmiana polityki prywatności, a teraz to. Żegnam się z tym oprogramowaniem, wole przejść sobie na Kaspersky.
hah a ja mam linuxa i na niego nie ma wirusów
Poprawiłeś mi humor. Essa!
Jak sie ciesze, ze nie musze uzywac oprogramowania antywirusowego. Ale gdybym musial to juz wiem ktora firma niepowaznie podchodzi do tematu bezpieczenstwa.
Ależ to nie jest prawda – do samego AVG Antivirus zastrzeżeń nie ma – więc takie pisanie że niepoważnie podchodzą nie jest prawdziwe.
Dział odpowiedzialny za TuneUp (czyli pewnie ktoś z innej firemki co ją AVG kupiło) dał d*, a nie same AVG. Natomiast AVG wine ponosi że w ogóle takie g* podsyła ludziom – bo te podsyłanie to wygląda jak wciskanie bloatwaru
Solidnego szkolenia za które Ty drogi frajerze tak Ty. Masz zapłacić.
Mnie bardziej zastanawia: po co im historia przeglądania użytkownika? Kolejna inwigilacja?
Pewnie kod samego antywirusa jest równie wyrafinowany jak te poprawki.
https://www.cvedetails.com/cve/CVE-2015-6792/
„The MIDI subsystem in Google Chrome before 47.0.2526.106 does not properly handle the sending of data, which allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via unspecified vectors, related to midi_manager.cc, midi_manager_alsa.cc, and midi_manager_mac.cc, a different vulnerability than CVE-2015-8664.”
Bugi w kodzie się zdarzają każdemu, nawet Google.
„Do samego antywirusa nie mamy zastrzeżeń” – rozumiem, że autorzy portalu przeprowadzili analizę silnika tego AV, i stwierdzili, że jest dobrze napisany pod względem bezpieczeństwa, jego moduły parserów są zaudytowane, wytestowane (np. poprzez fuzzing, ale nie tylko), oraz zsandboxowane? :))
Nie.
Chciałbym zauważyć, że dyskusja o tym „który AV lepszy” nie ma większego sensu w tym wątku komentarza.
Optymistycznie 1% czytających/piszących kiedykolwiek przeprowadziło solidny RE silnika AV, oraz przetestowało parsery AV chociażby poprzez fuzzing.
Jezeli nie, to mówienie, że „AV1 bezpieczniejszy od AV2” to wróżenie z fusów. Tym bardziej mówienie, że AVG to „porażka” (bo i jest), nie mając pojęcia o tym jak solidne są inne silniki AV, niewiele nam daje prócz zamętu i argumentów opartych o anegdoty.
Drogi Robercie popatrz na to z innej strony może nikt nie ma nic do silnika AV dlatego że nie mieści się w tym 1% którzy kiedykolwiek przeprowadzili solidne RE silnika oraz przetestowało parsery więc nie ma podstaw aby go nie polecać bądź polecać ?
Idąc w tym kierunku, nie możemy polecać lub nie polecać niczego
chyba że będziemy bazować na badaniach innych oczywiście jeżeli są to faktyczne badania i nie wynikają one z potrzeb marketingowych
Z AV moim zdaniem jest taki zasadniczy problem że w gruncie rzeczy trudno je zastąpić, a są dziurawe tworzą idealny wektor ataku wielu rzeczy nie wyłapują i dla ludzi z bezp. są często uciążliwym dodatkiem (ja nie mam żadnego) ale nie chodzi przecież o ludzi z bezp. a co ma chronić na poziomie Hosta panią Grażynkę przed nią samą ? Oczywiście w świecie idealnym pewnie można by przyjąć że szkolenia/edukacja poprawianie świadomości no ale bądźmy realistami ;]
AVG od lat jest programem szpiegowskim i inwigilacyjnym. Ostatnia afera z Chinczykami tylko to potwierdza.
Stara zasada mówi, że nie ma nic za darmo – darmowe wersje AV muszą na siebie zarobić ;-)
a zawsze powtarzam: antywirusom na a (a wręcz na av) mówimy nie! są często groźniejsze od większości szkodliwego oprogramowania…