Win7杀软AVG强制安装Chrome扩展程序,泄露用户浏览隐私

2015-12-29 16:16:58    编辑:软媒 - 晨风     字体:【

Win7之家www.win7china.com):Win7杀软AVG强制安装Chrome扩展程序,泄露用户浏览隐私

IT之家讯 AVG的Web TuneUp Chrome扩展程序会在用户安装防病毒软件时被强制安装,使用Chrome浏览器的用户会因此受到影响。谷歌Project Zero研究员Tavis Ormandy发现这个扩展程序存在漏洞,可允许攻击者获取用户浏览历史、cookies以及其他有效信息。

这位研究员在问题报告中指出,AVG Web TuneUp扩展在Chrome Web商店页面列出了超过900万用户,很容易因此受到XSS(跨站脚本)攻击。攻击者在获悉这个消息后,可以得到用户cookies、浏览历史、搜索设置和其他各种细节信息。而由于安装过程较为复杂,因此可以绕过Chrome商店恶意软件检查机制。

Tavis Ormandy还表示,目前众多扩展程序都是“半成品”状态,代码简陋,安全性差,容易给攻击者可乘之机。目前新版AVG Web TuneUp 4.2.5.169已经修复了该漏洞,并且谷歌已经禁用了AVG扩展程序内部安装机制,也就是说用户只能通过Chrome商店安装该扩展程序,防止此类问题再次发生。现在商店团队正在调查AVG的扩展程序违规行为。(via:Softpedia)