個人情報販売始めたAVG、今度はユーザーアプリにセキュリティホールをこっそり仕込む

個人情報保護機能を目玉にしていたAVG、個人情報販売始めます
AVGやばいなぁと思ってたんですが

セキュリティソフトベンダーAVGの提供するChrome拡張に脆弱性

Googleは以前より悪意のあるChrome拡張からユーザーを保護するため、Chromeウェブストア経由でのみ拡張をインストールできるようにしているのだが(過去記事)、今回問題となった拡張はこの仕組みを無視し、AVGのセキュリティソフトをインストールすると自動的にChromeにインストールされるという。

 問題となった脆弱性は、この拡張が提供するJavaScript APIにあるとのこと。AVG側は問題のあるAPIを第三者が実行できないように修正を行ったとのことだが、この修正内で使われている正規表現が不適切で、「avg.com」という文字列を含むドメイン名を利用することでこの制限を迂回できてしまうという。

どういうことかというと、
セキュリティを迂回して、強引にブラウザの機能にアクセスできるJavaScriptを拡張するアプリを突っ込んだ挙句、指摘されて出した対案がお粗末でこれも迂回できてしまうという話らしい

本の虫: AVGのクソみたいなChrome拡張の脆弱性
ここに分かりやすくまとまってた。

AVGは死んだのだ・ω・

おすすめ

5件のフィードバック

  1. a2ure_ より:
    2016年1月9日 10:43 AM

    し、知らなかった…
    AVG昔使ってたんですが、もう使いたくなくなりました…
    やっぱ無料セキュリティ提供してるところには裏があるんですね…

    返信
  2. 通行人@電話 より:
    2016年1月9日 1:14 PM

    A 嗚呼・・・
    V ウイルスのような
    G ゴミになっちゃいましたw

    返信
  3. AMD785G より:
    2016年1月9日 7:04 PM

    AVGからアバストに乗り換えて良かった
    今はアバストだけが頼りです

    返信
  4. Comodoがヤバい記事読んでたらAVGもヤバいと偶然知れて感謝 より:
    2016年2月2日 10:51 PM

    AMD785Gさんへ
    アバスト「だけ」が頼りというコメントが悲しいのでコメントさせて頂きます
    自分はavast! Free Antivirusだけではなく、Panda Free Antivirusも頼りにしています

    返信
  5. 追記 より:
    2016年2月6日 3:40 PM

    以前の上記のコメントに理由を補足させて頂きますと、
    avast!とPandaは、セキュリティソフトテストの第三者機関といえばこの二つなAV-ComparativesとAV-TESTのテストの結果が、
    最初のテストから現在までずっと無料版のものなので。
    しかもPandaはAV-ComparativesのReal-World Protection Testで一貫してavast! よりも優れ、
    2013年8月から2014年10~12月以外はずっと、
    TOP3常連の有料版のBitDefender、有料版のavira、有料版のKasperskyの成績順位に並び続けるか何回も超えたこともあり、
    しかも更に、2014年4月から9月まで、2015年5月から最新の12月分まで連続で同率含め1位なので。
    また、AV-TESTのProtection Scoreでも2014年2月の結果からavastを現在まで超え続け、Wndows7の2015年のテスト結果ではProtection Scoreで6点満点を取り続けているので。
    対して、AviraとBitDefenderはそれぞれFree Antivirus、Free Edtitionがあるのに、
    AV-Comparativesの最初(2009年)のReal-World Protection Testのテスト結果と、
    最初(2010年)のAV-TESTのテスト結果から現在まで、
    有料版のテスト結果なので。
    他の無料ウィルス対策ソフトが頼りにならない理由は、
    上記第三者機関の最新のテストでの成績が低いか最近のテスト結果に載ってないからか、
    中国製のため信用出来ないのでいくらテスト成績が高くても頼りには出来ないから。

    返信

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です