AVG强制安装Chrome扩展程序,泄露用户浏览隐私

2015-12-29 13:43IT之家 - 晨风

IT之家讯 AVG的Web TuneUp Chrome扩展程序会在用户安装防病毒软件时被强制安装,使用Chrome浏览器的用户会因此受到影响。谷歌Project Zero研究员Tavis Ormandy发现这个扩展程序存在漏洞,可允许攻击者获取用户浏览历史、cookies以及其他有效信息。

这位研究员在问题报告中指出,AVG Web TuneUp扩展在Chrome Web商店页面列出了超过900万用户,很容易因此受到XSS(跨站脚本)攻击。攻击者在获悉这个消息后,可以得到用户cookies、浏览历史、搜索设置和其他各种细节信息。而由于安装过程较为复杂,因此可以绕过Chrome商店恶意软件检查机制。

Tavis Ormandy还表示,目前众多扩展程序都是“半成品”状态,代码简陋,安全性差,容易给攻击者可乘之机。目前新版AVG Web TuneUp 4.2.5.169已经修复了该漏洞,并且谷歌已经禁用了AVG扩展程序内部安装机制,也就是说用户只能通过Chrome商店安装该扩展程序,防止此类问题再次发生。现在商店团队正在调查AVG的扩展程序违规行为。(via:Softpedia)

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

文章价值:
人打分
有价值还可以无价值
置顶评论
    热门评论
      全部评论
      一大波评论正在路上
        取消发送
        软媒旗下人气应用

        如点击保存海报无效,请长按图片进行保存分享