AVG, l'estensione che restringeva la sicurezza

AVG, l'estensione che restringeva la sicurezza

Un ricercatore di Google segnala che il plugin per Chrome WebTunein, dedicato alla navigazione sicura, avrebbe potuto agevolare una miriade di attacchi nei confronti dei suoi milioni di utenti. Il problema è stato risolto
Un ricercatore di Google segnala che il plugin per Chrome WebTunein, dedicato alla navigazione sicura, avrebbe potuto agevolare una miriade di attacchi nei confronti dei suoi milioni di utenti. Il problema è stato risolto

Promette agli utenti di “notificare i risultati di ricerca non sicuri”, di “evitare i siti pericolosi”: l’estensione per Chrome WebTunein, proposta da AVG (produttore del noto AVG Free Antivirus) sul Chrome WebStore e fino a pochi giorni fa installata contestualmente alla soluzione antivirale dell’azienda, ha in realtà messo a rischio la privacy e la sicurezza di milioni di utenti.

A rilevare il problema, a segnalarlo nel quadro dell’iniziativa Project Zero e a notificarlo all’azienda sviluppatrice il 15 dicembre è il ricercatore di sicurezza di Google Tavis Ormandy. Il plugin opera inviando ai server di AVG dati relativi alle sessioni di navigazione dell’utente per confrontarla con il proprio database di siti al fine di individuare le minacce, ma lo fa operando con numerose API JavaScript che prestano il fianco a vulnerabilità capaci di aprire la strada ad attacchi assortiti. Ormandy ha messo a punto un exploit per dimostrare ad AVG quanto fosse semplice appropriarsi dei cookie relativi all’autenticazione del sito di AVG, alle cronologie di navigazione dell’utente e ad altri dati personali, ha chiarito come fosse possibile sfruttare le falle dell’estensione attraverso siti non sicuri, per eseguire script potenzialmente pericolosi.

Il ricercatore spiega che il processo di installazione, particolarmente complesso, consente al plugin di sfuggire ai controlli operati dai sistema di sicurezza del Chrome Store. Ormandy, nel rivolgersi ad AVG, si interroga provocatoriamente riguardo all’opportunità di segnalare l’estensione come PuP, Potentially unwanted Program , vale a dire software non desiderabile.

AVG ha provveduto a fornire una prima soluzione al problema, limitandosi ad autorizzare le richieste da parte di domini che contenessero la stringa “avg.com”, restringendola poi a “mysearch.avg.com” e “webtuneup.avg.com. Un rimedio risolutivo solo nel caso in cui si assicuri che questi domini non siano compromessi da alcuna vulnerabilità XSS. La versione 4.2.5.169 dell’estensione rilasciata il 28 dicembre, segnala Ormandy, si può ritenere sicura.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
4 gen 2016
Link copiato negli appunti