Win7殺軟AVG強制安裝Chrome擴展程序，泄露用戶瀏覽隱私

Win7之家（ afsion.com.cn）：Win7殺軟AVG強制安裝Chrome擴展程序，泄露用戶瀏覽隱私

IT之家訊 AVG的Web TuneUp Chrome擴展程序會在用戶安裝防病毒軟件時被強制安裝，使用Chrome瀏覽器的用戶會因此受到影響。谷歌Project Zero研究員Tavis Ormandy發(fā)現(xiàn)這個擴展程序存在漏洞，可允許攻擊者獲取用戶瀏覽歷史、cookies以及其他有效信息。

這位研究員在問題報告中指出，AVG Web TuneUp擴展在Chrome Web商店頁面列出了超過900萬用戶，很容易因此受到XSS（跨站腳本）攻擊。攻擊者在獲悉這個消息后，可以得到用戶cookies、瀏覽歷史、搜索設置和其他各種細節(jié)信息。而由于安裝過程較為復雜，因此可以繞過Chrome商店惡意軟件檢查機制。

Tavis Ormandy還表示，目前眾多擴展程序都是“半成品”狀態(tài)，代碼簡陋，安全性差，容易給攻擊者可乘之機。目前新版AVG Web TuneUp 4.2.5.169已經修復了該漏洞，并且谷歌已經禁用了AVG擴展程序內部安裝機制，也就是說用戶只能通過Chrome商店安裝該擴展程序，防止此類問題再次發(fā)生。現(xiàn)在商店團隊正在調查AVG的擴展程序違規(guī)行為。（via：Softpedia）