Pior ainda para a reputação da empresa, as primeiras abordagens para resolver o problema falharam. O processo pode ser lido numa das listas de discussão da Google Security Research, onde a falha foi reportada.
A extensão Web TuneUP está disponível na Chrome Store e o objetivo é fornecer proteção contra sites maliciosos, comparando a sua reputação de segurança contra as referências na base de dados da AVG. O problema é que é uma instalação forçada, e até agora contornava os protocolos de segurança do próprio Chrome.
“Muitos dos API estão defeituosos, a falha rouba cookies do avg.com. Também expõe o histórico de navegação e outros dados pessoais, não me surpreenderia se fosse possível transformar isto em execução arbitrária de código”, escreveu Tavis Ormandy, um dos investigadores da Google, que fez a demonstração da falha e que contactou a AVG.
Num email furioso, o investigador disse à AVG não estar nada satisfeito por este “lixo” estar a ser instalado à força nos navegadores. “O meu receio é de que o vosso software de segurança esteja a incapacitar a segurança web de 9 milhões de utilizadores do Chrome, aparentemente para que vocês possam tomar de assalto as definições de pesquisa e a página de novo separador”, escreveu Ormandy. “Há múltiplos ataques óbvios que são possíveis”, acrescentou. “Espero que a severidade deste problema seja clara para vocês, resolvê-lo deve ser a vossa máxima prioridade.”
A AVG respondeu no mesmo dia, 15 de dezembro, mas quatro dias depois Ormandy voltou à carga: a solução estava “obviamente incorreta.” O especialista tornou a contactar a empresa dizendo que o ajuste era inaceitável, porque se limitava a fazer triagem de acordo com a presença de avg.com no nome de host – algo que qualquer um pode forjar.
Após novas tentativas, a questão ficou aparentemente resolvida ontem, mas as instalações ficaram congeladas enquanto a Google verifica se a AVG contornou outras políticas da empresa; se tal se confirmar, é possível que todos os produtos da marca sejam retirados da Chrome Store. Ormandy decidiu entretanto restringir os comentários porque a lista de discussão da Google Security Research “não é um fórum público.”
A Lenovo revelou também as mais recentes edições dos seus novos desktops workstation ThinkStation P2…
O projeto visa facilitar o acesso a tecnologias de apoio destinadas a pessoas com limitações…
Em conjunto, disponibilizam uma nova funcionalidade que permite às PME acederem a financiamento de faturas…
Esta iniciativa marca uma nova fase de inovação no setor filatélico dos CTT, reforçando o…
Este novo programa alarga o alcance geográfico do trabalho atual e acrescenta novos elementos que…
O selo agora atribuído é o resultado do desenvolvimento de duas das suas soluções de…