頁:
[1]
新聞 Google警告AVG的Chrome外掛設計不良,恐讓Web TuneUp百萬用戶個資遭竊
本帖最後由 Kanaru 於 2016-1-17 07:55 AM 編輯Google Project Zero研究人員發現,AVG一款Chrome瀏覽器外掛Web TuneUp設計上的漏洞,可能反而造成數百萬用戶面臨資料外洩,或遭駭客遠端攻擊的風險。
Web TuneUp為Chrome的外掛程式,設計目的在於偵測並封鎖使用者電腦遭到惡意程式入侵,使用者人數將近900萬。然而,Google研究人員Tavis Ormandy指出,Web TuneUp的設計有個令人爭議的地方,首先,它在使用者安裝AVG防毒軟體同時會強迫安裝這款外掛,而且會在Chrome加入許多JavaScript API,導致使用者電腦的搜尋設定與新分頁被綁架。另一方面,Web TuneUp安裝過程又十分複雜、得以繞過Chrome瀏覽器用以防止外掛API濫用的惡意程式檢查。
研究人員在通報AVG時表示,這種外掛的設計實在太糟,以致於他不知道該將之通報為一項漏洞,或是該請Google的API濫用小組調查這是否為一種PuP程式。他指出,Web TuneUp安裝的眾多API滿是漏洞,可能引發的安全攻擊也有許多種。例如navigate API有個跨網站程式碼,能讓駭客從其他網站上執行程式碼,藉此看到corp.avg.com或mail.google.com的信件,或是竊取使用者的上網紀錄及個人資料,甚至可能遠端攻擊等。
AVG接獲Google通知後,已迅速修補此一問題。然而此事再度突顯防毒產品也會有弱點,導致用戶受害的諷刺情形。六月間Google Project Zero也公佈防毒軟體Eset NOD32中的一項漏洞,可能導致駭客取得使用者電腦的控制權,進而刪除任何想要的檔案。其實賽門鐵克防毒軟體早在多年前即已出現漏洞問題。
--------------------------------------------------------------------------------------------------
做防毒的還出這種包還真是挺尷尬的
也是蠻普遍的防毒品牌
別讓使用者裝了你們的產品反而還遭殃
加油 好嗎?
[本帖為轉載帖]
歡迎至電腦資訊區!! 各類分區!! 加入討論!!
電腦新資訊 電腦軟體討論 電腦軟體資訊分享 電腦硬體討論 電腦硬體資訊分享 電腦萌化版
電腦系統 OS 討論 電腦程式設計 電腦設計技術交流 圖像設計及交流 各類下載工具教學 寬頻上網討論
...<div class='locked'><em>瀏覽完整內容,請先 <a href='member.php?mod=register'>註冊</a> 或 <a href='javascript:;' onclick="lsSubmit()">登入會員</a></em></div><div></div> 不會吧
雖然專業的說明不是很懂
但是光是聽到會洩漏個資就覺得很恐怖
每天光是接到一堆詐騙電話已經夠煩了 不這樣搞防毒軟體公司就沒錢賺了啊....所以當然這樣搞啊 盡量使用付費的版本,才能有完整的服務~不然防毒公司總是要有營收~老是要用免費的~當然會有外掛囉~將心比心~現在費用沒那麼貴了。 AVG、NOD32、賽門鐵克也出現過這些漏洞問題,
或許Chrome瀏覽器外掛的架構上本來就有很大的問題<br><br><br><br><br><div></div>
頁:
[1]