AVG Antivirus va trencar la seguretat de Chrome i Google es va enfadar al respecte

AVG-WebTuneUP

AVG Antivirus ha estat una suite de seguretat popular durant més d’una dècada. La companyia reclama més de 200 milions de dispositius actius, inclosos 100 milions d’instal·lacions mòbils. Durant els darrers anys, l’empresa ha patit un foc cada vegada més gran per haver instal·lat sense permís la barra d’eines AVG SafeSearch i anunciar que vendria dades de consumidors als anunciants. Ara és possible que la companyia hagi anat massa lluny gràcies a un enorme error del seu programari AVG Web TuneUp que va trencar fonamentalment la seguretat dels usuaris de Google Chrome.

avg_web_tuneup

L’extensió AVG Web TuneUp



El 15 de desembre, l’investigador de seguretat de Google, Tavis Ormandy ha presentat un informe d'errors amb AVG, assenyalant que el programari:



'(A) fabrica nombroses API JavaScript de Chrome perquè sembla que puguin segrestar la configuració de cerca i la pàgina de pestanya nova. El procés d'instal·lació és bastant complicat perquè puguin passar per alt les comprovacions de malware de Chrome, que intenten específicament aturar l'abús de l'API de l'extensió '.

Ormandy va fer un seguiment de l’informe d’errors amb un correu electrònic autodescrit enutjat enviat directament a AVG. En ella, Ormandy escriu:



'Realment no estic encantat d'instal·lar aquesta paperera per als usuaris de Chrome. L’extensió està tan trencada que no estic segur de si us l’hauríeu d’informar com a vulnerabilitat o de demanar a l’equip abusiu de les extensions que investigui si es tracta d’un PuP (programa potencialment no desitjat).

Tot i això, la meva preocupació és que el vostre programari de seguretat estigui desactivant la seguretat web per a 9 milions d’usuaris de Chrome, pel que sembla podeu segrestar la configuració de cerca i la nova pestanya.

Hi ha múltiples atacs evidents possibles, per exemple, aquí hi ha un xss universal trivial a l'API 'navega' que pot permetre a qualsevol lloc web executar scripts en el context de qualsevol altre domini '. (Les mostres de codi corresponents es poden veure a l'informe inicial d'errors.)



AVG va llançar un pedaç trencat pel problema el 19 de desembre, que Google va rebutjar ràpidament. La companyia va tornar a revisar el seu pegat, però a partir del 28 de desembre, Google està revisant l'extensió per determinar si a AVG se li permetrà oferir-la.

Una revisió de les comparacions antivirus més recents a AV-Comparatius mostra l'antivirus d'AVG que funciona a la part superior del munt. Tanmateix, no es pot dir el mateix amb el foistware que la companyia ha pres per empènyer els seus usuaris. En els darrers anys ha esclatat una lletania de queixes dels usuaris, la majoria de les quals diuen les mateixes coses: el programari suplementari d’AVG (Web TuneUp, SafeSearch i similars) són desastres de seguretat i no els agrada.

AVG

El fet que ara la companyia vulgui vendre dades de consumidors (la informació anterior prové de la mateixa AVG) pot ser l’última oportunitat per a molts usuaris. AVG ha canviat la diligència deguda real per impulsar els usuaris cap a productes que no funcionen mentre venen les dades de la seva base d’usuaris.

Copyright © Tots Els Drets Reservats | 2007es.com