Biztonsági hibákkal települt az AVG böngészőkiegészítője
A felhasználók böngészési előzményeit és más személyes információit is veszélybe sodorta az AVG automatikusan települő böngészőkiegészítője. A Web Tuneup által használt hibás API-kat a Google biztonsági kutatói fedezték fel.
Újabb biztonsági kockázatot jelentő böngészőkiegészítő jelent meg a láthatáron, ráadásul épp a biztonsági szoftvereiről ismert AVG gondozásában. A vállalat AVG Web Tuneup névre hallgató kiegészítője által jelentett veszélyekre a Google Security Research biztonsági kutatói hívták fel a figyelmet.
Az első feltűnő probléma a kiegészítő kapcsán az volt, hogy az a vállalat biztonsági szoftvereivel automatikusan települt, méghozzá úgy, hogy közben megkerülte a Chrome malware-ellenőrzéseit, amelyeket többek között épp a hasonló, potenciálisan veszélyes beépülők kordában tartására vezettek be. A Web Tuneupnak a szakértők szerint egyébként jelenleg közel 9 millió aktív felhasználója van Chrome alatt. A telepítést követően a kiegészítő több JavaScript API-t ad a Google böngészőjéhez, amelyekkel a keresési beállítások, illetve az újonnan megnyitott lapok fölött is átveheti az irányítást.
Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.
Az ügyre rátesz egy lapáttal, hogy kutatók szerint az AVG által használt API-k a fentieken túl még hibásak is: amellett, hogy egy viszonylag egyszerű módszerrel lehetővé teszik, hogy a támadók az avg.com-ról lopjanak cookie-kat, a felhasználók keresési előzményeit és egyéb személyes információit is elérhetővé teszik illetéktelenek számára. A kapcsolódó Google Security Research poszt szerint nem lenne meglepő, ha a hibák távoli kódfuttatásra is alkalmasak lennének.
A biztonsági szakértők az AVG felé is jelezték a problémát, a vállalat pedig aránylag gyorsan intézkedett is az ügyben, amelyet ezzel a Google is lezártnak tekint. A Web Tuneup a jövőben nem települ automatikusan, a biztonsági szoftver immár rákérdez, van-e rá igénye a felhasználónak, sőt, ugyanezt a telepítést követő első indításkor a Chrome böngésző is megteszi.
Az AVG nem most tesz először rossz fát a tűzre, szeptemberben a vállalat frissített adatvédelmi irányelvei váltottak ki nemtetszést, amelyek alapján a cég biztonsági szoftverének ingyenes verziója információkat gyűjt felhasználóiról, majd eladja azokat.