AVG er Web-Optimalisering Chrome-tillegget utgjør en sikkerhetsrisiko

0
22

Sårbarheten overstyrer sikkerhetsfunksjoner i Chrome-nettleseren bygget for å stoppe personlige data blir distribuert

Google har avdekket et sikkerhetsproblem i AVG Web-Optimalisering programvare, som var spesielt bygget for å beskytte brukere mot skjulte trusler.

Feilen ble avdekket av søkemotoren Tavis Ormandy, som fungerer på Google security team. Han forklarte at programvaren kraft installerer en plugin i Chrome-nettleseren din uten å be om brukerens tillatelse.

I gjør det, kan programvaren kan avsløre brukerens personlige detaljer og internett historie til kriminelle trawling internett for slike detaljer. Koden kan også la hackere spionere på ofrenes e-post og andre aktiviteter, sier han.

Denne utvidelsen gir en rekke JavaScript-API-er for å chrome, tilsynelatende, slik at de kan kapre innstillinger for søk og ny fane-siden,” Ormandy skrev i rapporten.

“Installasjonen er ganske komplisert, slik at de kan omgå chrome malware sjekker, som er spesielt prøver å stoppe misbruk av extension-API.

Han la til: “Uansett, mange av API-er er brutt, festet utnytte stjeler fra informasjonskapsler avg.com. Det viser også nettleserloggen og andre personlige data til internett, jeg ville ikke bli overrasket hvis det er mulig å gjøre dette til vilkårlig kodeutførelse.”

Etter å oppdage problemet, Ormandy skrev et brev til AVG, fremhever problemet og gi råd til selskapet for å løse problemet umiddelbart.

“Min bekymring er at sikkerhetsprogramvaren er å deaktivere internett-sikkerhet for ni millioner Chrome-brukere, tilsynelatende, slik at du kan kapre innstillinger for søk og ny fane-siden,” skrev han.

“Det er flere åpenbare angrep mulig, for eksempel, her er en triviell universal xss i “naviger’ API som kan gjøre det mulig for hvilken som helst nettside til å kjøre skript i sammenheng med alle andre domene. For eksempel, attacker.com kan lese e-post fra mail.google.com eller corp.avg.com eller noe annet. Jeg håper alvorlighetsgraden av dette problemet er klare til deg, fikse det bør være ditt høyeste prioritet.”

AVG reagert på bekymringer, takke Google for å oppdage feil, og deretter hevde at det hadde løst problemet, selv om Google så svarte og sa det ikke hadde hindret tillegg fra auto-installasjon som en Chrome-utvidelse.