Pior ainda para a reputação da empresa, as primeiras abordagens para resolver o problema falharam. O processo pode ser lido numa das listas de discussão da Google Security Research, onde a falha foi reportada.
A extensão Web TuneUP está disponível na Chrome Store e o objetivo é fornecer proteção contra sites maliciosos, comparando a sua reputação de segurança contra as referências na base de dados da AVG. O problema é que é uma instalação forçada, e até agora contornava os protocolos de segurança do próprio Chrome.
“Muitos dos API estão defeituosos, a falha rouba cookies do avg.com. Também expõe o histórico de navegação e outros dados pessoais, não me surpreenderia se fosse possível transformar isto em execução arbitrária de código”, escreveu Tavis Ormandy, um dos investigadores da Google, que fez a demonstração da falha e que contactou a AVG.
Num email furioso, o investigador disse à AVG não estar nada satisfeito por este “lixo” estar a ser instalado à força nos navegadores. “O meu receio é de que o vosso software de segurança esteja a incapacitar a segurança web de 9 milhões de utilizadores do Chrome, aparentemente para que vocês possam tomar de assalto as definições de pesquisa e a página de novo separador”, escreveu Ormandy. “Há múltiplos ataques óbvios que são possíveis”, acrescentou. “Espero que a severidade deste problema seja clara para vocês, resolvê-lo deve ser a vossa máxima prioridade.”
A AVG respondeu no mesmo dia, 15 de dezembro, mas quatro dias depois Ormandy voltou à carga: a solução estava “obviamente incorreta.” O especialista tornou a contactar a empresa dizendo que o ajuste era inaceitável, porque se limitava a fazer triagem de acordo com a presença de avg.com no nome de host – algo que qualquer um pode forjar.
Após novas tentativas, a questão ficou aparentemente resolvida ontem, mas as instalações ficaram congeladas enquanto a Google verifica se a AVG contornou outras políticas da empresa; se tal se confirmar, é possível que todos os produtos da marca sejam retirados da Chrome Store. Ormandy decidiu entretanto restringir os comentários porque a lista de discussão da Google Security Research “não é um fórum público.”
Com o lançamento de KATA 7.0, as organizações podem agora beneficiar de capacidades melhoradas de…
Novos monitores Predator X32 X2 e X27U X1 oferecem imagens de jogo nítidas, com uma…
Adolfo Martinho sucede a Manuel Maria Correia, que liderou a empresa em Portugal desde a…
A Kaspersky descobriu centenas de repositórios de código aberto infetados com malware multifacetado, dirigidos a…
O Researcher e o Analyst vão começar a ser disponibilizados para clientes com licença do…
Ao longo da sua carreira, Ricardo Morais assumiu responsabilidades em gestão de clientes e desenvolvimento…