Skip to main content
DIGITAL TV 181
securityreport e mag odhgos 2021
4 Ιανουαρίου 2016 20:02

Google κατά AVG για έκθεση δεδομένων χρηστών του Chrome

admin ajax.php?action=kernel&p=image&src=file%3Dwp content%252Fuploads%252F2022%252F05%252F4fa5d681d6835b873b1693220ef238ad XL

Η επέκταση Chrome με την ονομασία “AVG Web TuneUp” από τα στατιστικά της Google φαίνεται να χρησιμοποιείται από 9 εκατομμύρια ενεργούς χρήστες του Chrome, οπότε δικαιολογείται η “έκρηξη” του ερευνητή της Google σε συζήτηση σχετικά με το bug. Η AVG προσπάθησε στη συνέχεια να διορθώσει το πρόβλημα -κάτι που τελικά έγινε- ωστόσο οι πρώτες προσπάθειες της εταιρείας κρίθηκαν ως μη αποδεκτέςΗ επέκταση Chrome με την ονομασία “AVG Web TuneUp” από τα στατιστικά της Google φαίνεται να χρησιμοποιείται από 9 εκατομμύρια ενεργούς χρήστες του Chrome, οπότε δικαιολογείται η “έκρηξη” του ερευνητή της Google σε συζήτηση σχετικά με το bug. Η AVG προσπάθησε στη συνέχεια να διορθώσει το πρόβλημα -κάτι που τελικά έγινε- ωστόσο οι πρώτες προσπάθειες της εταιρείας κρίθηκαν ως μη αποδεκτές.

Το εργαλείο Web TuneUp της AVG προσφέρεται δωρεάν στο Chrome store και έχει στόχο να προσφέρει reputation-based προστασία, ενάντια σε κακόβουλες ιστοσελίδες. Το πρόβλημα είναι ότι ο τρόπος εγκατάστασης του (forced-installed) από το AVG AntiVirus, παρέκαμπτε ελέγχους ασφαλείας που χρησιμοποιεί ο Chrome για να ανιχνεύει κακόβουλα plugins και malware.

Ο τρόπος που λειτουργεί το plugin είναι να στέλνει τις διευθύνσεις των ιστοσελίδων που επισκέπτονται οι χρήστες του Chrome στους διακομιστές της AVG ώστε να ελεγχθούν χρησιμοποιώντας μία βάση δεδομένων από γνωστές κακόβουλες ιστοσελίδες. Ωστόσο ο τρόπος που είχε δημιουργηθεί το plugin ήταν τέτοιος, που μπορούσε πολύ εύκολα να το εκμεταλλευτεί κάποιος επιτιθέμενος (μέσω cross-site scripting, XSS) σύμφωνα με μία ανάρτηση του Ερευνητή Ασφαλείας της Google, Tavis Ormandy.

Όπως αναφέραμε, αρχικά η AVG προσπάθησε να διορθώσει το πρόβλημα, αλλά το μόνο που έκανε είναι να συμπεριλαμβάνει σε “whitelist” μόνο τις αιτήσεις από hosts που περιείχαν το string “avg.com” στην ονομασία. Όπως όμως απάντησε ο Tavis Ormandy, κακόβουλες ιστοσελίδες που χρησιμοποιούσαν το avg.com στις ονομασίες τους όπως για παράδειγμα η https://www.avg.com.www.attacker.comθα μπορούσαν να καταστήσουν εξίσου δυνατό το spoofing των διακομιστών της AVG και άρα οι επιτιθέμενοι θα μπορούσαν να χρησιμοποιήσουν μία επίθεση man-in-the-middle για να περάσουν κακόβουλη Javascript στα θύματα τους, χωρίς να έχει σημασία αν η σύνδεση είναι ασφαλής ή όχι.

Η AVG διόρθωσε το πρόβλημα στις 28 Δεκεμβρίου, με την εταιρεία να ευχαριστεί την Google Security Research Team στο BBC για την υπόδειξη του προβλήματος και την βοήθεια της.

Πηγή: ArsTechnica

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ

ΣΕ ΑΥΤΟ ΤΟ ΤΕΥΧΟΣ

  • Security Report, τεύχος 143

    Security Report, τεύχος 143

    Κυκλοφορεί σε όλα τα εξειδικευμένα σημεία διανομής το περιοδικό Security Report Οκτωβρίου, πάντα μαζί με το περιοδικό Ψηφιακή Τηλεόραση. Στο νέο τεύχοςθα βρείτε ενδιαφέροντα θέματα και δοκιμές ...
  • Ιατρική βοήθεια στα συστήματα συναγερμού

    Ιατρική βοήθεια στα συστήματα συναγερμού

    Η πρόοδος της τεχνολογίας έχει φέρει επανάσταση στον κλάδο της οικιακής ασφάλειας, που σήμερα έχει υιοθετήσει πιο ολοκληρωμένες και «σωτήριες» λύσεις, ξεπερνώντας ακόμα και τις προσδοκίες των τελι...
  • Wi-Fi Sensing

    Wi-Fi Sensing

    Οι εφαρμογές του Wi-Fi και της ασύρματης τεχνολογίας εξελίσσονται ραγδαία, και σήμερα η εν λόγω τεχνολογία δημιουργεί νέες ευκαιρίες. Ερευνητές και επιστήμονες από τον κλάδο της τεχνολογίας έχουν ...
  • Αναγνώριση πινακίδων οχημάτων

    Αναγνώριση πινακίδων οχημάτων

     Έντονες είναι οι εξελίξεις στην τεχνολογία αναγνώρισης οχημάτων και συμπεριφοράς οδηγών τα τελευταία χρόνια. Από την ευρεία υιοθέτηση της τεχνητής νοημοσύνης, μέχρι τη μηχανική μάθηση, όλα σ...
  • Video Analytics

    Video Analytics

    Με την πληθώρα τεχνολογικών λύσεων που συναντούμε σήμερα είναι σίγουρο πως οι επιχειρήσεις και οι μεγάλοι οργανισμοί έχουν την τύχη, αλλά και την ελευθερία, να επιλέξουν - μέσα από μια μεγάλη γκάμ...
  • Τεχνητή νοημοσύνη στις σύγχρονες κάμερες

    Τεχνητή νοημοσύνη στις σύγχρονες κάμερες

    Οι εξελίξεις γύρω από την τεχνητή νοημοσύνη είναι ραγδαίες και αυτός είναι ίσως ένας από τους κυριότερους λόγους που για κάποιους η τεχνητή νοημοσύνη είναι κάτι συναρπαστικό, ενώ για άλλους δυνητι...
  • ONVIF

    ONVIF

    Το ONVIF (Open Network Video Interface Forum), το παγκόσμιο ανοικτό πρότυπο διασύνδεσης φυσικών προϊόντων ασφαλείας IP, παρουσίασε το πρόσθετο διαμόρφωσης TLS, που θα επιτρέψει ταχύτερες και ασφαλ...
  • Προϊόντα CCTV της HOLOWITS

    Προϊόντα CCTV της HOLOWITS

    Η Oktabit Α.Ε., διακεκριμένη εταιρεία στον χώρο της διανομής προϊόντων υψηλής τεχνολογίας με 30 και πλέον έτη επιτυχημένης παρουσίας στην ελληνική αγορά, ανακοίνωσε πρόσφατα τη νέα στρατηγική συνε...
  • Uniview F & Q3 Series

    Uniview F & Q3 Series

    H Uniview είναι ένας από τους κορυφαίους κατασκευαστές συστημάτων CCTV, με έδρα την Hangzhou της Κίνας, 4 κέντρα R&D, παραρτήματα ανά την υφήλιο και παρουσία σε 145 χώρες. Μέσα σε 15 μόνο χρόν...
  • IP κάμερες της Tiandy

    IP κάμερες της Tiandy

    Σήμερα, η βιντεοεπιτήρηση δεν αφορά μόνο στην παρακολούθηση, αφορά στη λήψη και στην επεξεργασία δεδομένων σε πραγματικό χρόνο, με ακρίβεια και αποτελεσματικότητα. Στην εποχή του ψηφιακού μετασχημ...
  • Comelit Integration System

    Comelit Integration System

    Η εγκατάσταση συστήματος αυτοματισμού βελτιώνει την ποιότητα της καθημερινότητας, μεγιστοποιεί την ασφάλεια του χώρου και συμβάλλει στη μείωση των λογαριασμών ενέργειας έως και στο ένα τρίτο (-30%...