AVG Antivirus rompió la seguridad de Chrome, y Google está furioso por eso

AVG-WebTuneUP

AVG Antivirus ha sido un paquete de seguridad popular durante más de una década. La compañía reclama más de 200 millones de dispositivos activos, incluidos 100 millones de instalaciones móviles. En los últimos años, la empresa ha sido objeto de críticas cada vez mayores por instalar su barra de herramientas AVG SafeSearch sin permiso y anunciar que vendería datos de consumidores a anunciantes. Ahora, es posible que la compañía finalmente haya ido demasiado lejos, gracias a un error enorme en su software AVG Web TuneUp que rompió fundamentalmente la seguridad de los usuarios de Google Chrome.

avg_web_tuneup

La extensión AVG Web TuneUp

El 15 de diciembre, el investigador de seguridad de Google Tavis Ormandy presentó un informe de error con AVG, teniendo en cuenta que el software:



“(A) agrega numerosas API de JavaScript a Chrome, aparentemente para que puedan secuestrar la configuración de búsqueda y la página Nueva pestaña. El proceso de instalación es bastante complicado, por lo que pueden eludir las comprobaciones de malware de Chrome, que intentan específicamente detener el abuso de la API de extensión '.

Ormandy siguió el informe de error con un correo electrónico enojado que se describe a sí mismo y que se envió directamente a AVG. En él, Ormandy escribe:

'Realmente no me entusiasma que se instale esta papelera para los usuarios de Chrome. La extensión está tan dañada que no estoy seguro de si debería informarte como una vulnerabilidad o pedirle al equipo de abuso de la extensión que investigue si es un PuP (programa potencialmente no deseado).

Sin embargo, mi preocupación es que su software de seguridad está deshabilitando la seguridad web para 9 millones de usuarios de Chrome, aparentemente para que pueda secuestrar la configuración de búsqueda y la página de nueva pestaña.

Hay varios ataques obvios posibles, por ejemplo, aquí hay un xss universal trivial en la API de 'navegación' que puede permitir que cualquier sitio web ejecute un script en el contexto de cualquier otro dominio '. (Las muestras de código relevantes se pueden ver en el informe de error inicial).

AVG lanzó un parche roto para el problema el 19 de diciembre, que Google rechazó de inmediato. La compañía revisó su parche nuevamente, pero a partir del 28 de diciembre, Google está revisando la extensión para determinar si AVG podrá ofrecerla.

Una revisión de las comparaciones antivirus más recientes en Comparativas AV muestra el rendimiento del antivirus de AVG en la parte superior del montón. Sin embargo, no se puede decir lo mismo del foistware que la compañía ha empezado a presionar a sus usuarios. En los últimos años ha surgido una letanía de quejas de los usuarios, la mayoría de las cuales dicen lo mismo: el software complementario de AVG, Web TuneUp, SafeSearch y similares, son desastres de seguridad y son muy desagradables.

AVG

El hecho de que la empresa ahora quiera vender datos de consumidores (la información anterior es de AVG) puede ser la última gota para muchos usuarios. AVG ha negociado la debida diligencia para impulsar a los usuarios hacia productos que no funcionan mientras venden los datos de su base de usuarios.

Copyright © Todos Los Derechos Reservados | 2007es.com