Extensão AVG/Chrome expõe dados de usuários
Muitos são os usuários que descartam criptografia pois acreditam ser desnecessária tal medida, já que usam programas anti-vírus, firewall e anti-malware. São programas excelentes e que devem estar presentes em qualquer equipamento, mas não protegem o usuário em relação ao contexto que a criptografia atinge. São todos programas com objetivos diferentes e bem delineados em cada campo de atuação.
Alguns destes programas têm a capacidade de se anexar aos navegadores (Edge, Chrome, Firefox, Internet Explorer, Safari, Opera, etc) objetivando proteger o usuário contra vírus que possam penetrar o sistema através da navegação na Internet. Para isso, utilizam "extensões de navegadores", pequenos programas que criam a interface entre o navegador e o anti-vírus.
E em relação aos anti-virus e firewall, várias têm sido as falhas reportadas, como o caso recente do AVG, Kaspersky e McAfee, como relato a seguir.
Foi descoberta hoje que, a extensão do Chrome que o AVG AntiVirus usa e é instalado automaticamente nos sistemas dos usuários, expõe o histórico de navegação e outros dados pessoais na Internet,
De acordo com o relatório de Ormandy, a extensão Chrome, apelidada TuneUp Web AVG e com a ID chfdnecihphmhljaaejmgoiahnihplgn, é instalada sem o conhecimento do usuário durante a instalação do produto e adiciona uma série de vulnerabilidades ao navegador, colocando, assim, os seus mais de 9 milhões de usuários instalados em risco.
O pesquisador explica que a extensão foi projetada para adicionar numerosos códigos JavaScript API no Chrome para interceptar as configurações de pesquisa e de "nova página/nova aba", mas muitas dessas APIs estão quebradas ou mal-projetadas. Além disso, ele observa que o processo de instalação da extensão é tão complicado, que pode afetar as próprias rotinas de verificação de malware do Chrome, que foram projetadas especificamente para prevenir o abuso desta API de extensão.
Entre as vulnerabilidades que TuneUp Web AVG traz junto, o pesquisador menciona um "trivial universal" XSS (Cross-Site Scripting) na API "navegação", o que poderia permitir que sites de executar scripts no contexto de quaisquer outros domínios. De acordo com Ormandy, um site poderia ler e-mails de mail.google.com (e executar ainda outras ações!) devido a esta falha de alta gravidade.
O pesquisador do Google Project Zero também explica que a extensão expõe o histórico de navegação de um usuário à Internet. Ele também observa que a extensão e as APIs colocadas pelo AVG podem também ser usadas para permitir a execução remota de código, neste caso, permitir a instalação e/ou execução de programas não autorizados que podem "sequestrar" a máquina do usuário daí para a frente.
Em resumo: o programa que deveria proteger o usuário em verdade cria uma série de riscos potencialmente graves, que com certeza podem ser explorados por milhares de formas diferentes.
Ormandy prosseguiu dizendo que a extensão ainda estava permitindo que um invasor Man-in-the-Middle (MITM) injetar código JavaScript em *qualquer origem*, até mesmo uma origem segura (HTTPS sites), negando assim a proteção SSL para aqueles que usam a extensão. Na prática, seria como durante seu acesso ao seu Banco, um invasor pudesse efetivamente espionar tudo que você digita (incluindo senhas de acesso), possibilitando um ataque no momento ou posteriormente.
A AVG parece ter resolvido as questões de segurança na versão 4.2.5.169 da extensão AVG Web TuneUp Chrome. No entanto, a equipe Chrome Web Store desativou as instalações em linha para esta extensão, o que significa que os usuários precisam acessar a loja e baixar a versão atualizada manualmente. Enquanto isso, a equipe Chrome Web Store está investigando possíveis violações de políticas, diz Ormandy.
Em tempo: no início deste mês, a empresa de prevenção e exfiltração de dados enSilo revelou que uma séria vulnerabilidade encontrada no AVG Internet Security 2015, que poderia ter sido explorada por atores maliciosos para contornar recursos de proteção do Windows.
Produtos de segurança, tais como Anti-Virus 2015 MR2 do Kaspersky Internet Security 2015 e MR2, e da Intel Segurança McAfee VirusScan Enterprise versão 8.8 também foram afetados pela falha.
