Biztonsági hibákkal települt az AVG böngészőkiegészítője
A felhasználók böngészési előzményeit és más személyes információit is veszélybe sodorta az AVG automatikusan települő böngészőkiegészítője. A Web Tuneup által használt hibás API-kat a Google biztonsági kutatói fedezték fel.
Újabb biztonsági kockázatot jelentő böngészőkiegészítő jelent meg a láthatáron, ráadásul épp a biztonsági szoftvereiről ismert AVG gondozásában. A vállalat AVG Web Tuneup névre hallgató kiegészítője által jelentett veszélyekre a Google Security Research biztonsági kutatói hívták fel a figyelmet.
Az első feltűnő probléma a kiegészítő kapcsán az volt, hogy az a vállalat biztonsági szoftvereivel automatikusan települt, méghozzá úgy, hogy közben megkerülte a Chrome malware-ellenőrzéseit, amelyeket többek között épp a hasonló, potenciálisan veszélyes beépülők kordában tartására vezettek be. A Web Tuneupnak a szakértők szerint egyébként jelenleg közel 9 millió aktív felhasználója van Chrome alatt. A telepítést követően a kiegészítő több JavaScript API-t ad a Google böngészőjéhez, amelyekkel a keresési beállítások, illetve az újonnan megnyitott lapok fölött is átveheti az irányítást.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Az ügyre rátesz egy lapáttal, hogy kutatók szerint az AVG által használt API-k a fentieken túl még hibásak is: amellett, hogy egy viszonylag egyszerű módszerrel lehetővé teszik, hogy a támadók az avg.com-ról lopjanak cookie-kat, a felhasználók keresési előzményeit és egyéb személyes információit is elérhetővé teszik illetéktelenek számára. A kapcsolódó Google Security Research poszt szerint nem lenne meglepő, ha a hibák távoli kódfuttatásra is alkalmasak lennének.
A biztonsági szakértők az AVG felé is jelezték a problémát, a vállalat pedig aránylag gyorsan intézkedett is az ügyben, amelyet ezzel a Google is lezártnak tekint. A Web Tuneup a jövőben nem települ automatikusan, a biztonsági szoftver immár rákérdez, van-e rá igénye a felhasználónak, sőt, ugyanezt a telepítést követő első indításkor a Chrome böngésző is megteszi.
Az AVG nem most tesz először rossz fát a tűzre, szeptemberben a vállalat frissített adatvédelmi irányelvei váltottak ki nemtetszést, amelyek alapján a cég biztonsági szoftverének ingyenes verziója információkat gyűjt felhasználóiról, majd eladja azokat.