ممنوعیت نصب خودکار افزونه‌ی تنظیم وب کروم برای AVG

گوگل، نصب خودکار افزونه‌ی تنظیم وب کروم را برای AVG ممنوع کرد؛ البته پس از این‌که این ویجت امنیت برخط ۹ میلیون را به خطر انداخت!
تاویس اورماندی یکی از محققان پروژه‌ی صفر گوگل که ضدبدافزار مربوطه را بررسی می‌کند دریافت که این افزونه در معرض خطر قرار گرفته است. تنظیم وب با بسته‌ی ضدبدافزاریAVG نصب می‌شود و از ورود کاربران کروم به وب‌گاه‌‌هایی که حاوی بدافزار هستند جلوگیری می‌کند. این نرم‌افزار توسط ۹٫۰۵۰٫۴۳۲ کاربر استفاده می‌شود.
به گفته‌ی اورماندی این افزونه تاریخچه‌ی مرورگر و دیگر اطلاعات شخصی کاربر را در اینترنت قرار می‌دهد. وب‌گا‌ه‌های مخرب خطاهای برنامه‌ریزی نوار ابزار را در دسترس وب‌گاه‌هایی قرار می‌دهد که کاربر وارد آن‌ها شده است. به عبارت دیگر یک اسکریپت در حال اجرا روی یک صفحه‌ی وب در یک زبانه می‌تواند به طور نامرئی و به عنوان یک کاربر به mail.google.com دسترسی یابد و اطلاعات درون صندوق رایانامه‌ی فرد رامورد نفوذ قرار دهد.
گفته شده است که حمله‌کنندگان به کمک فن مرد میانی از تنظیم وب سوءاستفاده کرده تا هرگونه جاوااسکریپتی را که دوست دارند به صفحات وب در سرتاسر شبکه وارد کنند که در این صورت هرگونه رمزگذاری SSL را از بین می‌برند.
اوذماندی در گزارش مشکل امنیتی خود به مهندسان AVG گفت: «به خاطر لحن تندم عذر خواهی می‌کنم اما من واقعاً برای این مشکل پیش‌آمده برای کاربران کروم خوشحال و هیجان زده نیستم.»
وی افزود: «این افزونه آن‌قدر بد تخریب شده است که نمی‌دانم واقعاً اسم آن را آسیب‌پذیری بگذارم یا این‌که اگر یک PuP(برنامه‌های ناخواسته با نام بدافزار) است بخواهم راجع به تیم سوءاستفاده‌کننده از افزونه بررسی‌هایی ترتیب داده شود.»
AVG گزارش آسیب‌پذیری در تنظیم وب، نسخه‌ی ۴.۲.۵.۱۶۹ که هفته‌ی گذشته منتشر شده بود را داد. اگرچه AVG به مدت طولانی اجازه‌ی نصب خودکار این افزونه را نداد- و اگر کاربری آن را می‌خواهد باید از فروشگاه وب (Web Store) آن را بگیرد- و تیمی در حال بررسی نقص‌های گوگل می‌باشد.
سخن‌گوی AVG گفت: «از تیم تحقیقاتی امنیتی گوگول که ما را از چنین آسیب‌پذیری در افزونه‌ی تنظیم وب کروم آگاه کرد تشکر می‌کنیم. این مشکل برطرف شده و نسخه‌ی جدید آن به طور خودکار برای کاربران به‌روزرسانی می شود.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.