Une extension pour le navigateur Chrome proposée par le spécialiste de la sécurité AVG présentait plusieurs vulnérabilités.
Tavis Ormandy, chercheur en sécurité au sein de l'équipe Google Projet Zero, explique que lorsqu'un utilisateur installe la solution antivirus d'AVG, cela entraîne le téléchargement forcé de l'extension AVG Web TuneUp au sein du navigateur Chrome. En juger par les chiffres du Chrome Web Store, celle-ci disposerait d'une base de quelque 9 millions d'utilisateurs.
Or cette extension embarque des interfaces de programmation de Chrome lui permettant, le cas échéant de modifier les paramètres de recherche ou de la page par défaut à l'ouverture d'un nouvel onglet. M. Ormandy ajoute : « le processus d'installation est tellement compliqué qu'il passe outre le dispositif de détection de malware de Chrome, lequel tente précisément de stopper les abus liés à l'usage de ses API ».
Mais le chercheur précise que l'usage de ces API par AVG pose plusieurs problèmes de vulnérabilité pouvant facilement révéler « l'historique de navigation et d'autres données personnelles ».
Dans une mise à jour publiée la semaine dernière, AVG a corrigé le problème mais également bloquer le dispositif d'installation forcée. Désormais les utilisateurs devront donc se rendre directement sur le Chrome Web Store pour récupérer AVG Web TuneUp.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.
