Wtyczka AVG dla Google Chrome okazała się dziurawa
Oprogramowanie zabezpieczające powinno, jak sama nazwa wskazuje, przede wszystkim chronić użytkowników. O ile aplikacjom zupełnie darmowym możemy wybaczyć pewne niedostatki, potknięcie i niedoróbki, o tyle od producentów sprzedających licencje wymagamy najwyższej możliwej jakości, chodzi przecież o bezpieczeństwo. Jak na ironię, czasami to właśnie dostarczane przez nich moduły okazują się niebezpieczne dla naszego komputera i informacji, jakimi się na co dzień posługujemy. Na szczęście oprogramowaniu temu przyglądają się specjaliści z całego świata. Teraz alarm podniesiono w sprawie dodatku do przeglądarki Chrome, jaki jest instalowany wraz z oprogramowaniem firmy AVG – jak się okazuje, zawierał on poważne błędy, które narażały na kradzież danych kilka milionów użytkowników.
AVG Web TuneUp miało chronić użytkowników. Błędy doprowadził do tego, że dodatek tylko dodatkowo ich narażał.
Obecnie większość producentów antywirusów dostarcza własne dodatki do przeglądarek, które mają na celu skanowanie stron z ich poziomu – dzięki temu da się sprawdzać nie tylko połączenia przez program antywirusowy, ale i zawartość witryny. Podobnie zachowuje się AVG Web TuneUp i w założeniach chroni użytkowników przed niebezpiecznymi wynikami wyszukiwania, a także oferuje usługę bezpiecznej wyszukiwarki stron. Problem polega na tym, że AVG wymusza instalację tego rozszerzenia wraz ze swoim antywirusem, firma nie zadbała także o jego odpowiednie zabezpieczenie i w efekcie atakujący mogą je wykorzystać do przechwytywania naszych prywatnych danych.
Rozszerzenie dodaje do Chrome kilka API w języku JavaScript, umożliwia zmianę ustawień wyszukiwarki i strony nowej karty – proces instalacji jest skomplikowany na tyle, aby ominąć zabezpieczenia wdrożone przez Google. Nowe API są natomiast dziurawe, zewnętrzni cyberprzestępcy mogą je wykorzystać do kradzieży ciasteczek, ujawniania historii przeglądania, wpisywanych informacji (np. haseł), a także wykonywania nieautoryzowanego kodu na dowolnej witrynie. Odkrywca luk, Tavis Ormandy z zespołu Google Project Zero zgłosił sprawę do AVG. Firma wydała szybko „poprawioną” wersję, ale ta znów okazała się dziurawa. Po ponownym zgłoszeniu sytuacja się powtórzyła, łącznie AVG musiało wydawać aż trzy poprawki, a specjalista z Google musiał dokładnie wskazywać, gdzie leży problem.
Rozszerzenie jest już wolne od wad, niemniej powinniśmy go unikać.
Według statystyk z Chrome Web Store wtyczka ta została zainstalowana ponad 9 milionów razy, najprawdopodobniej właśnie ze względu na wymuszanie jej instalacji. Obecnie, choć jest poprawiona, najlepszym rozwiązaniem jest jej usunięcie z Chrome. Żaden tego typu dodatek nie oferuje stuprocentowego bezpieczeństwa i choć zostały one stworzone w dobrej wierze, powinniśmy mieć się na baczności. Pamiętajmy, że wszystkie popularne przeglądarki są obecnie wyposażone we własne filtry szkodliwych stron i w wielu przypadkach instalowanie dodatków nie jest niczym uargumentowane.
Powiązane publikacje

Meta AI rzuca wyzwanie ChatGPT. Nowa aplikacja z funkcją Discover Feed jest już dostępna na Androida i iOS
2
Grok 3.5 odpowie na pytania bez przeszukiwania Internetu. Gwarantuje to sam Elon Musk
10
Duolingo stawia na AI. Chodzi o automatyzację procesów, a także redukcję kontraktorów w edukacyjnej rewolucji
23
Microsoft Recall oraz Click to Do trafiły do zapoznawczej aktualizacji Windowsa 11 dla komputerów Copilot+ AI
17