Google警告AVG的Chrome外掛設計不良，恐讓Web TuneUp百萬用戶個

jis2577

Google抓蟲大隊警告：擁有近900萬名用戶的Chrome瀏覽器外掛Web TuneUp設計漏洞，恐導致用戶外洩個資。

Google Project Zero研究人員發現，AVG一款Chrome瀏覽器外掛Web TuneUp設計上的漏洞，可能反而造成數百萬用戶面臨資料外洩，或遭駭客遠端攻擊的風險。
Web TuneUp為Chrome的外掛程式，設計目的在於偵測並封鎖使用者電腦遭到惡意程式入侵，使用者人數將近900萬。然而，Google研究人員Tavis Ormandy指出，Web TuneUp的設計有個令人爭議的地方，首先，它在使用者安裝AVG防毒軟體同時會強迫安裝這款外掛，而且會在Chrome加入許多JavaScript API，導致使用者電腦的搜尋設定與新分頁被綁架。另一方面，Web TuneUp安裝過程又十分複雜、得以繞過Chrome瀏覽器用以防止外掛API濫用的惡意程式檢查。
研究人員在通報AVG時表示，這種外掛的設計實在太糟，以致於他不知道該將之通報為一項漏洞，或是該請Google的API濫用小組調查這是否為一種PuP程式。他指出，Web TuneUp安裝的眾多API滿是漏洞，可能引發的安全攻擊也有許多種。例如navigate API有個跨網站程式碼，能讓駭客從其他網站上執行程式碼，藉此看到corp.avg.com或mail.google.com的信件，或是竊取使用者的上網紀錄及個人資料，甚至可能遠端攻擊等。
AVG接獲Google通知後，已迅速修補此一問題。然而此事再度突顯防毒產品也會有弱點，導致用戶受害的諷刺情形。六月間Google Project Zero也公佈防毒軟體Eset NOD32中的一項漏洞，可能導致駭客取得使用者電腦的控制權，進而刪除任何想要的檔案。其實賽門鐵克防毒軟體早在多年前即已出現漏洞問題。