Más que una crítica constructiva, el investigador de Google, Tavis Ormandy, quiso hacer una observación a la firma checa AVG el pasado 15 de diciembre por la extensión que “instala de manera forzada” en el navegador Chrome. Disponible en la Chrome Web Store, ésta se agrega cuando el usuario instala el antivirus o lo hace desde un módulo del mismo, con permisos de administrador.
PUBLICIDAD
Arstechnica reporta que Ormandy acusó a AVG de exponer la información de por lo menos 9 millones de usuarios de Chrome, después que la extensión AVG Web TuneUp pasara por alto los controles de revisión de malware que hace el navegador al instalarse con permisos de administrador. Dicha extensión revisa la reputación de los sitios web y ofrece opciones de protección a la privacidad.
Según Ormandy, la forma en que fue desarrollada deja vulnerables a los usuarios porque se expone a los ataques, pues para poder cambiar la página y proveedor de búsqueda principales, la extensión contiene numerosas APIs JavaScript de las cuales la mayoría “están rotas”. Cuando un atacante se interesa por la información puede acceder a las cookies del sitio web de AVG y también hacerse del historial e información privada de navegación.
La acusación llevó a que los ingenieros de AVG pensaran en una solución de manera inmediata, pero en su lugar omitieron los sitios web con la dirección avg.com para evitar nuevas acusaciones, ignorando que algunos sitios maliciosos podrían suplantarlo complementando la URL con la suya y exponían en mayor medida a los usuarios de Chrome con ataques de tipo man-in-the-middle aún si la conexión estaba cifrada.
Fue apenas el pasado 28 de diciembre cuando AVG habría resuelto la situación con un nuevo parche para la extensión, pero debido a que está siendo investigada por posible violación de la política de la Chrome Web Store, la actualización no ha podido ser desplegada a los usuarios del navegador. En respuesta a las declaraciones, la firma checa confirmó la actualización y anunció que se haría de forma automática.
Ambas partes se encuentran en una disputa que pone en jaque a AVG y sus productos antivirus diseñados para, precisamente, evitar la exposición del usuario a los ataques. Lo más recomendable es que, si eres uno de ellos e ignoras la existencia de AVG Web TuneUp en tu navegador, decide si conservarla o eliminarla, a la par que optas por un software anti-exploit para navegadores gratuito.
Opinar es gratis, como siempre. No olviden seguirnos y comentar en Facebook.