Szerző: Hlács Ferenc

2015. december 30. 10:30

Biztonsági hibákkal települt az AVG böngészőkiegészítője

A felhasználók böngészési előzményeit és más személyes információit is veszélybe sodorta az AVG automatikusan települő böngészőkiegészítője. A Web Tuneup által használt hibás API-kat a Google biztonsági kutatói fedezték fel.

Újabb biztonsági kockázatot jelentő böngészőkiegészítő jelent meg a láthatáron, ráadásul épp a biztonsági szoftvereiről ismert AVG gondozásában. A vállalat AVG Web Tuneup névre hallgató kiegészítője által jelentett veszélyekre a Google Security Research biztonsági kutatói hívták fel a figyelmet.

Az első feltűnő probléma a kiegészítő kapcsán az volt, hogy az a vállalat biztonsági szoftvereivel automatikusan települt, méghozzá úgy, hogy közben megkerülte a Chrome malware-ellenőrzéseit, amelyeket többek között épp a hasonló, potenciálisan veszélyes beépülők kordában tartására vezettek be. A Web Tuneupnak a szakértők szerint egyébként jelenleg közel 9 millió aktív felhasználója van Chrome alatt. A telepítést követően a kiegészítő több JavaScript API-t ad a Google böngészőjéhez, amelyekkel a keresési beállítások, illetve az újonnan megnyitott lapok fölött is átveheti az irányítást.

Jöhet a malware-cunami az iPhone-okra?

Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Jöhet a malware-cunami az iPhone-okra? Nyílik az iOS, de tényleg annyira veszélyes ez? Annyira azért nem kell félni, elég sok kontroll van még az Apple-nél.

Az ügyre rátesz egy lapáttal, hogy kutatók szerint az AVG által használt API-k a fentieken túl még hibásak is: amellett, hogy egy viszonylag egyszerű módszerrel lehetővé teszik, hogy a támadók az avg.com-ról lopjanak cookie-kat, a felhasználók keresési előzményeit és egyéb személyes információit is elérhetővé teszik illetéktelenek számára. A kapcsolódó Google Security Research poszt szerint nem lenne meglepő, ha a hibák távoli kódfuttatásra is alkalmasak lennének.

A biztonsági szakértők az AVG felé is jelezték a problémát, a vállalat pedig aránylag gyorsan intézkedett is az ügyben, amelyet ezzel a Google is lezártnak tekint. A Web Tuneup a jövőben nem települ automatikusan, a biztonsági szoftver immár rákérdez, van-e rá igénye a felhasználónak, sőt, ugyanezt a telepítést követő első indításkor a Chrome böngésző is megteszi.

Az AVG nem most tesz először rossz fát a tűzre, szeptemberben a vállalat frissített adatvédelmi irányelvei váltottak ki nemtetszést, amelyek alapján a cég biztonsági szoftverének ingyenes verziója információkat gyűjt felhasználóiról, majd eladja azokat.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról