Zgłoś błąd
X
Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.
Błędy w spisie treści artykułu zgłaszaj jako "błąd w TREŚCI".
Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
.
Załóż konto
EnglishDeutschукраїнськийFrançaisEspañol中国

Wtyczka AVG dla Google Chrome okazała się dziurawa

LukasAMD | 03-01-2016 13:08 |

Oprogramowanie zabezpieczające powinno, jak sama nazwa wskazuje, przede wszystkim chronić użytkowników. O ile aplikacjom zupełnie darmowym możemy wybaczyć pewne niedostatki, potknięcie i niedoróbki, o tyle od producentów sprzedających licencje wymagamy najwyższej możliwej jakości, chodzi przecież o bezpieczeństwo. Jak na ironię, czasami to właśnie dostarczane przez nich moduły okazują się niebezpieczne dla naszego komputera i informacji, jakimi się na co dzień posługujemy. Na szczęście oprogramowaniu temu przyglądają się specjaliści z całego świata. Teraz alarm podniesiono w sprawie dodatku do przeglądarki Chrome, jaki jest instalowany wraz z oprogramowaniem firmy AVG – jak się okazuje, zawierał on poważne błędy, które narażały na kradzież danych kilka milionów użytkowników.

AVG Web TuneUp miało chronić użytkowników. Błędy doprowadził do tego, że dodatek tylko dodatkowo ich narażał.

Obecnie większość producentów antywirusów dostarcza własne dodatki do przeglądarek, które mają na celu skanowanie stron z ich poziomu – dzięki temu da się sprawdzać nie tylko połączenia przez program antywirusowy, ale i zawartość witryny. Podobnie zachowuje się AVG Web TuneUp i w założeniach chroni użytkowników przed niebezpiecznymi wynikami wyszukiwania, a także oferuje usługę bezpiecznej wyszukiwarki stron. Problem polega na tym, że AVG wymusza instalację tego rozszerzenia wraz ze swoim antywirusem, firma nie zadbała także o jego odpowiednie zabezpieczenie i w efekcie atakujący mogą je wykorzystać do przechwytywania naszych prywatnych danych.

Rozszerzenie dodaje do Chrome kilka API w języku JavaScript, umożliwia zmianę ustawień wyszukiwarki i strony nowej karty – proces instalacji jest skomplikowany na tyle, aby ominąć zabezpieczenia wdrożone przez Google. Nowe API są natomiast dziurawe, zewnętrzni cyberprzestępcy mogą je wykorzystać do kradzieży ciasteczek, ujawniania historii przeglądania, wpisywanych informacji (np. haseł), a także wykonywania nieautoryzowanego kodu na dowolnej witrynie. Odkrywca luk, Tavis Ormandy z zespołu Google Project Zero zgłosił sprawę do AVG. Firma wydała szybko „poprawioną” wersję, ale ta znów okazała się dziurawa. Po ponownym zgłoszeniu sytuacja się powtórzyła, łącznie AVG musiało wydawać aż trzy poprawki, a specjalista z Google musiał dokładnie wskazywać, gdzie leży problem.

Rozszerzenie jest już wolne od wad, niemniej powinniśmy go unikać.

Według statystyk z Chrome Web Store wtyczka ta została zainstalowana ponad 9 milionów razy, najprawdopodobniej właśnie ze względu na wymuszanie jej instalacji. Obecnie, choć jest poprawiona, najlepszym rozwiązaniem jest jej usunięcie z Chrome. Żaden tego typu dodatek nie oferuje stuprocentowego bezpieczeństwa i choć zostały one stworzone w dobrej wierze, powinniśmy mieć się na baczności. Pamiętajmy, że wszystkie popularne przeglądarki są obecnie wyposażone we własne filtry szkodliwych stron i w wielu przypadkach instalowanie dodatków nie jest niczym uargumentowane.

Źródło: Neowin
Bądź na bieżąco - obserwuj PurePC.pl na Google News
Zgłoś błąd
Łukasz Tkacz
Liczba komentarzy: 15

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.