杀毒软件厂商 AVG 发布的一款 Google Chrome 插件,故意覆盖了浏览器的安全设置,致使用户数据暴露给恶意网站。这款名为 AVG Web TuneUp 的插件,本意是当用户访问不安全的网站或搜索结果时发出警告。但结果恰恰相反,该插件导致用户在访问恶意网站时,很容易遭受跨站脚本的攻击。
谷歌安全研究员 Tavis Ormandy 的研究结果表明:AVG 插件的用户会发现系统中的浏览历史记录和个人数据很容易被恶意网站所窃取。Ormandy 指出,因为该插件特意绕过了Chrome 的恶意软件检查机制,导致用户的系统易受攻击。12 月21 日,Ormandy 在原帖中更新并指出,当时最新版的AVG Web TuneUp(4.2.5.169) 虽然修复了之前的问题,但只是强制插件仅在“mysearch.avg.com”和“webtuneup.avg.com”的域名下使用,并非完全修复——风险依然存在,如果上述网站曾受到攻击,那么这些漏仍旧可以被利用。
AVG 公司已于 12 月 28 日提交了最新的补丁,但目前仍处于审查之中——Google 需要审查 AVG 该款插件是否违反 Chrome 网上应用店的隐私条款。对于追求最高安全等级的用户而言,只有将该插件从浏览器中删除才能彻底解决该问题。这并非 AVG 公司第一次引起大众关注,早在今年秋季,PC World 的 Jared Newman 曾指出 AVG 隐私政策的变化,这意味着AVG 将出售用户的非个人(Non-personal)数据。
查看英文原文: AVG Plugin Exposes Chrome User Data
感谢康锦龙对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群
(已满),InfoQ 读者交流群(#2))。
评论