Google Project Zero研究人員發現,AVG一款Chrome瀏覽器外掛Web TuneUp設計上的漏洞,可能反而造成數百萬用戶面臨資料外洩,或遭駭客遠端攻擊的風險。

Web TuneUp為Chrome的外掛程式,設計目的在於偵測並封鎖使用者電腦遭到惡意程式入侵,使用者人數將近900萬。然而,Google研究人員Tavis Ormandy指出,Web TuneUp的設計有個令人爭議的地方,首先,它在使用者安裝AVG防毒軟體同時會強迫安裝這款外掛,而且會在Chrome加入許多JavaScript API,導致使用者電腦的搜尋設定與新分頁被綁架。另一方面,Web TuneUp安裝過程又十分複雜、得以繞過Chrome瀏覽器用以防止外掛API濫用的惡意程式檢查。

研究人員在通報AVG時表示,這種外掛的設計實在太糟,以致於他不知道該將之通報為一項漏洞,或是該請Google的API濫用小組調查這是否為一種PuP程式。他指出,Web TuneUp安裝的眾多API滿是漏洞,可能引發的安全攻擊也有許多種。例如navigate API有個跨網站程式碼,能讓駭客從其他網站上執行程式碼,藉此看到corp.avg.com或mail.google.com的信件,或是竊取使用者的上網紀錄及個人資料,甚至可能遠端攻擊等。

 AVG接獲Google通知後,已迅速修補此一問題。然而此事再度突顯防毒產品也會有弱點,導致用戶受害的諷刺情形。六月間Google Project Zero也公佈防毒軟體Eset NOD32中的一項漏洞,可能導致駭客取得使用者電腦的控制權,進而刪除任何想要的檔案。其實賽門鐵克防毒軟體早在多年前即已出現漏洞問題。


Advertisement

更多 iThome相關內容