AVG corrige falha grave no Web TuneUP para Chrome

Pior ainda para a reputação da empresa, as primeiras abordagens para resolver o problema falharam. O processo pode ser lido numa das listas de discussão da Google Security Research, onde a falha foi reportada.

A extensão Web TuneUP está disponível na Chrome Store e o objetivo é fornecer proteção contra sites maliciosos, comparando a sua reputação de segurança contra as referências na base de dados da AVG. O problema é que é uma instalação forçada, e até agora contornava os protocolos de segurança do próprio Chrome.

“Muitos dos API estão defeituosos, a falha rouba cookies do avg.com. Também expõe o histórico de navegação e outros dados pessoais, não me surpreenderia se fosse possível transformar isto em execução arbitrária de código”, escreveu Tavis Ormandy, um dos investigadores da Google, que fez a demonstração da falha e que contactou a AVG.

Num email furioso, o investigador disse à AVG não estar nada satisfeito por este “lixo” estar a ser instalado à força nos navegadores. “O meu receio é de que o vosso software de segurança esteja a incapacitar a segurança web de 9 milhões de utilizadores do Chrome, aparentemente para que vocês possam tomar de assalto as definições de pesquisa e a página de novo separador”, escreveu Ormandy. “Há múltiplos ataques óbvios que são possíveis”, acrescentou. “Espero que a severidade deste problema seja clara para vocês, resolvê-lo deve ser a vossa máxima prioridade.”

A AVG respondeu no mesmo dia, 15 de dezembro, mas quatro dias depois Ormandy voltou à carga: a solução estava “obviamente incorreta.” O especialista tornou a contactar a empresa dizendo que o ajuste era inaceitável, porque se limitava a fazer triagem de acordo com a presença de avg.com no nome de host – algo que qualquer um pode forjar.

Após novas tentativas, a questão ficou aparentemente resolvida ontem, mas as instalações ficaram congeladas enquanto a Google verifica se a AVG contornou outras políticas da empresa; se tal se confirmar, é possível que todos os produtos da marca sejam retirados da Chrome Store. Ormandy decidiu entretanto restringir os comentários porque a lista de discussão da Google Security Research “não é um fórum público.”