Mellékleteink: HUP | Gamekapocs
Keres

Biztonsági hibákkal települt az AVG böngészőkiegészítője

Hlács Ferenc, 2015. december 30. 10:30

A felhasználók böngészési előzményeit és más személyes információit is veszélybe sodorta az AVG automatikusan települő böngészőkiegészítője. A Web Tuneup által használt hibás API-kat a Google biztonsági kutatói fedezték fel.

hirdetés

Újabb biztonsági kockázatot jelentő böngészőkiegészítő jelent meg a láthatáron, ráadásul épp a biztonsági szoftvereiről ismert AVG gondozásában. A vállalat AVG Web Tuneup névre hallgató kiegészítője által jelentett veszélyekre a Google Security Research biztonsági kutatói hívták fel a figyelmet.

Az első feltűnő probléma a kiegészítő kapcsán az volt, hogy az a vállalat biztonsági szoftvereivel automatikusan települt, méghozzá úgy, hogy közben megkerülte a Chrome malware-ellenőrzéseit, amelyeket többek között épp a hasonló, potenciálisan veszélyes beépülők kordában tartására vezettek be. A Web Tuneupnak a szakértők szerint egyébként jelenleg közel 9 millió aktív felhasználója van Chrome alatt. A telepítést követően a kiegészítő több JavaScript API-t ad a Google böngészőjéhez, amelyekkel a keresési beállítások, illetve az újonnan megnyitott lapok fölött is átveheti az irányítást.

Az ügyre rátesz egy lapáttal, hogy kutatók szerint az AVG által használt API-k a fentieken túl még hibásak is: amellett, hogy egy viszonylag egyszerű módszerrel lehetővé teszik, hogy a támadók az avg.com-ról lopjanak cookie-kat, a felhasználók keresési előzményeit és egyéb személyes információit is elérhetővé teszik illetéktelenek számára. A kapcsolódó Google Security Research poszt szerint nem lenne meglepő, ha a hibák távoli kódfuttatásra is alkalmasak lennének.

A biztonsági szakértők az AVG felé is jelezték a problémát, a vállalat pedig aránylag gyorsan intézkedett is az ügyben, amelyet ezzel a Google is lezártnak tekint. A Web Tuneup a jövőben nem települ automatikusan, a biztonsági szoftver immár rákérdez, van-e rá igénye a felhasználónak, sőt, ugyanezt a telepítést követő első indításkor a Chrome böngésző is megteszi.

Az AVG nem most tesz először rossz fát a tűzre, szeptemberben a vállalat frissített adatvédelmi irányelvei váltottak ki nemtetszést, amelyek alapján a cég biztonsági szoftverének ingyenes verziója információkat gyűjt felhasználóiról, majd eladja azokat.

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.