Que sont les URL « gvt1.com » de Google?

0

Certains domaines appartenant à Google ont amené les utilisateurs de Chrome, allant des chercheurs les plus qualifiés aux utilisateurs réguliers, à se demander s’ils sont malveillants.

Les domaines dont je parle sont les redirecteurs.gvt1.com et les sous-domaines gvt1/gvt2 qui ont entraîné de nombreuses questions sur Internet.

Après avoir reçu de multiples questions concernées au fil des ans, des chercheurs ont creusé plus profondément pour découvrir l’origine des domaines et savoir s’ils devraient être craints.

Que sont ces domaines suspects gtv1.com?

Les domaines *.gvt1.com et *.gvt2.com, ainsi que leurs sous-domaines, appartiennent à Google et sont généralement utilisés pour fournir des mises à jour logicielles de Chrome, d’extensions et de contenu connexe.

Par exemple, lorsque nous avons lancé Chrome tout à l’heure, il a essayé de se connecter aux domaines suivants:

http://redirector.gvt1.com/
http://r5---sn-8xgp1vo-ab5z.gvt1.com/

Cependant, ces URL et le nom de domaine a causé à plusieurs reprises la confusion parmi les développeurs et les chercheurs en raison de leur structure suspecte:

De plus, les domaines gvt.1com ont déjà été signalés par les produits antivirus comme des logiciels malveillants [1, 2] et par les chercheurs comme un indicateur de compromis [1, 2, 3].

En outre, les liens redirector.gvt1.com redirige vers une URL qui contient l’adresse IP de l’utilisateur, entre autres paramètres insaisissables qui peuvent causer d’autres soupçons.

Devons-nous craindre les URL gvt1.com de Google?

C’est là que cela se complique, mais la réponse est: non, mais Google pourrait mieux les sécuriser.

Le GVT dans le domaine gvt1.com est pour Google Video Transcoding, et est utilisé comme serveur de cache pour le contenu et les téléchargements utilisés par les services et applications Google.

En d’autres termes, les domaines *.gvt1.com ne sont utilisés que par Google pour fournir du contenu officiel, des mises à jour du navigateur Chrome et des exécutables liées à Android.

 » redirector.gvt1.com est un service de redirection utilisé par Google à diverses fins, y compris le téléchargement de mises à jour, etc. « , a déclaré Eric Lawrence, un ancien membre de l’équipe de sécurité de Chrome, dans un article de bug de google.

Pour en revenir au lien analysé dans la section précédente à titre d’exemple, nous pouvons voir que l’URL se terminant par .crx représente une extension Chrome :

http://redirector.gvt1.com/edgedl/chromewebstore/L2Nocm9tZV9leHRlbnNpb24vYmxvYnMvNmRlQUFXU0o1UkNFTWx3aGRUUHBsWUJUZw/7819.902.0.1_pkedcjkdefgpdelpbcmbmeomcjbeemfm.crx

En traçant le lien de l’extension cela nous mène à Chrome Media Router, un composant legacy qui a été utilisé par Chromecast.

Ce qui est inquiétant, c’est que Google continue d’utiliser le protocole HTTP non sécurisé plutôt que HTTPS lors de la connexion à ces URL.

connexions au réseau

En se connectant aux URL via HTTP, il peut être possible d’utiliser des attaques homme-du-milieu (MiTM) pour modifier les téléchargements d’une manière ou d’une autre.

En conclusion, lorsque vous voyez du trafic concernant les domaines *.gvt1.com ou *.gvt2.com dans votre réseau d’entreprise, il ne faut pas s’alarmer car cela est simplement un téléchargement légitime de Chrome en cours.

Toutefois, Google devrait passer à l’utilisation de HTTPS pour prévenir d’éventuelles attaques MiTM, et les administrateurs devraient continuer à suivre les meilleures pratiques telles que l’analyse du trafic à partir des URL.

Laisser un commentaire