Meio Bit » Arquivo » Segurança » Extensão do AVG detona segurança do Chrome

Extensão do AVG detona segurança do Chrome

AVG Web TuneUp, extensão do antivírus para o Google Chrome possuía falha grave que “apenas” quebrou a segurança do navegador, abrindo a porta para hackers

8 anos atrás

avg

A AVG não é uma das companhias de segurança mais queridas pelos profissionais nos últimos tempos, embora seus produtos ainda sejam muito populares principalmente por serem gratuitos ou baratos. Hoje sua família de programas está presente, segundo a companhia em 200 milhões de desktops e 100 milhões de dispositivos móveis. É muita gente.

Os problemas começaram quando a empresa admitiu que passaria a coletar dados dos usuários e os venderia para empresas exibirem ads, sem falar na insistência de instalar sua chata barra de ferramentas. Só que o que ela aprontou agora foi bem mais grave: um bug descoberto na extensão para o Google Chrome AVG Web TuneUp quebrou a segurança do navegador, expondo histórico e dados pessoais dos usuários à selva. E o Google não está nada feliz com isso.

O problema residia na forma como o plugin foi construído. Disponível até então na Chrome Web Store e incluído como um adicional nos softwares da AVG, o Web TuneUp operava de modo a driblar as checagens de segurança do próprio Google que impede a execução de códigos maliciosos. De acordo com um comunicado de bugs emitido pelo pesquisador da Google Security Tavis Orlandy em 15/12, “a extensão adiciona várias APIs Javascript ao navegador, de modo a ganhar acesso às configurações de busca e á página Nova Aba. Ele foi feito de modo a driblar as checagens de malware do Chrome, feitas para barrarem o abuso por parte das APIs”.

Dessa forma, para que a extensão executasse sua função de coletar páginas visitadas pelo usuário e compará-las ao seu banco de dados de endereços suspeitos, ela atuava como um malware e pior, deixava um rastro para que pessoas mal intencionadas pudessem acessar via XSS, interceptando histórico e dados pessoais, como senhas e números de cartões de crédito.

Orlandy descreveu no comunicado que está tão fulo da vida com a AVG que não sabe se classifica a extensão como um vulnerabilidade ou um malware propriamente dito, e acredito que a melhor opção seria de fato a segunda. A empresa de segurança preparou um patch de correção e o submeteu no dia 19, mas o Google o rejeitou. No momento a AVG diz que revisou a correção, mas neste momento Mountain View entrou no modo de minimização de danos, e pondera se permitirá que o plugin continue sendo oferecido ou não. Por enquanto ele ainda está no ar, mas isso pode não durar.

Fonte: Extreme Tech.

relacionados


Comentários