Uwaga na antywirusa AVG oraz jego wtyczkę AVG Web TuneUp

dodał 29 grudnia 2015 o 11:53 w kategorii Błędy  z tagami:
Uwaga na antywirusa AVG oraz jego wtyczkę AVG Web TuneUp

Wydawać by się mogło, że od programów antywirusowych powinniśmy oczekiwać wyższego poziomu bezpieczeństwa. Niestety często jest wprost odwrotnie i okazuje się, że najgorsze błędy znaleźć można w programach, które mają nas przed chronić.

Tavis Ormandy, członek zespołu Google Project Zero, przygląda się ostatnio programom antywirusowym i to, co w nich odnajduje, jeży włos na głowie. Kolejną jego ofiarą jest AVG, a konkretnie wtyczka do Chrome poprawiająca bezpieczeństwo użytkownika. Nie dość, że AVG popełniło w niej fatalne błędy, to jeszcze nie potrafiło ich naprawić.

9 milionów zagrożonych użytkowników

Wraz z instalacją antywirusa AVG instalowana jest także wtyczka do przeglądarki Chrome o nazwie AVG Web TuneUp. Według statystyk Google zainstalowało ją ponad 9 milionów użytkowników. Wtyczka w założeniu ma oceniać pod kątem bezpieczeństwa wyniki wyszukiwania, poprawiać prywatność użytkowników w sieciach społecznościowych i lepiej czyścić historię przeglądania. W rzeczywistości jej działanie mocno przypomina niechciane dodatki do przeglądarek a sam proces jej instalacji przebiega w dość skomplikowany sposób by Google nie uznało jej za złośliwe oprogramowanie. Nie to jest jednak najgorsze.

Reklama wtyczki

Reklama wtyczki

Tavis odkrył, że wtyczka dodaje do Chrome wiele API JavaScriptu by przejmować wyniki wyszukiwania i ustawienia strony głównej. Przy okazji niestety umożliwia wykonywanie JS w kontekście dowolnej domeny (skutkiem może być np. kradzież haseł lub ciastek) oraz zdalne przeglądanie historii odwiedzanych stron. Tavis poprzestał na tych dwóch błędach i wysłał zgłoszenie do AVG.

Poprawiamy szybko i nieskutecznie

AVG zareagowało dosyć szybko. Po czterech dniach przesłało poprawioną wersję wtyczki. Poprawka wyglądała tak:

Usunięto zatem możliwość wykonania skryptu w dowolnej domenie poprzez dodanie warunku, że domena źródłowa musi zawierać ciąg avg.com. Oznacza to, że wystarczy osadzić skrypt w domenie avg.com.adres.com by wstrzyknąć go do dowolnej innej witryny, np. strony banku. Tavis ponownie zgłosił błąd.

Następnego dnia AVG przesłało kolejną wersję, tym razem z dwiema domenami na białej liście:

Tavis pozostał jednak nieugięty, ponieważ wystarczyło znaleźć błąd typu XSS w jednej z tych domen, by ponownie przeprowadzić identyczny atak. Oczywiście taki błąd dość szybko zlokalizował.

Błąd został zgłoszony i poprawiony, jednak sposób, w jaki AVG napisało wtyczkę i jak próbowało ją poprawić sugeruje, że lepiej trzymać się od niej z daleka – zatem jeśli z AVG korzystacie, lepiej ją usuńcie. Rekomendacja dotyczy wszystkich przeglądarek, nie tylko Chrome.

PS. Do samego antywirusa nie mamy zastrzeżeń – trzeba jednak pamiętać o ograniczeniach tej kategorii zabezpieczeń, która nie zastąpi zdrowego rozsądku i solidnego szkolenia.