Η Google απαγόρευσε στην AVG να εγκαθιστά αυτόματα το Web TuneUp Chrome extension αφού το widget έβαλε σε κίνδυνο την ασφάλεια 9 εκατομμυρίων ανθρώπων.

Ο Tavis Ormandy, αναλυτής της Google, ο οποίος έλεγχε το λογισμικό antivirus, βρήκε ότι το λογισμικό…

 

antivirus είναι γεμάτο με ευπάθειες. Το  Web TuneUp το οποίο έχει 9.050.432 χρήστες εγκαθίσταται μαζί με το πακέτο antivirus της AVG και προσπαθεί να σταματήσει τους χρήστες του Chrome από την περιήγηση σε ιστοσελίδες που φιλοξενούν κακόβουλα λογισμικά.

Σύμφωνα με τον Ormandy, το extension διέρρευσε το ιστορικό περιήγησης και άλλα προσωπικά δεδομένα στο Internet. Κακόβουλες ιστοσελίδες θα μπορούσαν να εκμεταλλευθούν τα λάθη προγραμματισμού του toolbar για να αποκτήσουν πρόσβαση σε άλλες ιστοσελίδες που ο χρήστης συνδέεται.

Κάποιοι θα μπορούσαν να καταχραστούν το Web TuneUp ώστε να εισάγουν οποιοδήποτε JavaScript θα ήθελαν σε ιστοσελίδες, καθιστώντας οποιαδήποτε κρυπτογράφηση SSL άχρηστη.

“Συγγνώμη για τον σκληρό μου τόνο αλλά δεν είμαι καθόλου ενθουσιασμένος με αυτό το σκουπίδι που έχει εγκατασταθεί στους χρήστες του Google Chrome” είπε ο Ormandy στους μηχανικούς της AVG στην αναφορά του για το bug.

“Η επέκταση είναι τόσο άσχημα σπασμένη που δεν ξέρω αν θα πρέπει το αναφέρω σε σας ως ευπάθεια ή στην ομάδα abuse του extension για να ερευνήσουν αν είναι PuP (potentially unwanted program) δηλαδή με άλλα λόγια κακόβουλο λογισμικό.

Η AVG διόρθωσε τα τρωτά σημεία που της αναφέρθηκαν από την έκδοση 4.2.5.169 του Web TuneUp  το οποίο κυκλοφόρησε την προηγούμενη εβδομάδα. Παρ’ όλα αυτά, η εταιρία δεν επιτρέπει πια να εγκαθίσταται πια αυτόματα το extension αλλά οι χρήστες πρέπει να το εγκαταστήσουν μέσα από το Chrome Web Store αν πραγματικά το θέλουν. Παράλληλα το Chrome Web Store ερευνά αν το extension έχει παραβιάσει την πολιτική της Google.

“Ευχαριστούμε την ερευνητική ομάδα ασφαλείας της Google που μας ενημέρωσε για την ευπάθεια η οποία διορθώθηκε πλέον και η διορθωμένη έκδοση έχει δημοσιευτεί κι ενημερωθεί αυτόματα στους χρήστες.” δήλωσε ένας εκπρόσωπος τύπου της AVG.

Πηγή: SecNews