AVG quebró la seguridad de Chrome con una extensión repleta de bugs
Se supone que las soluciones provenientes de una compañía de seguridad deben ayudar a proteger los ordenadores de millones de s. Al mismo tiempo, es necesario destacar que los desarrolladores tienen sangre en las venas, y que un error o dos pueden escaparse a último momento. Pero el caso de la extensión AVG Web TuneUp para Google Chrome fue tan grave que disparó toda una serie de reacciones en Mountain View, incluyendo su bloqueo temporal en la Tienda de Chrome.
Pequeño «rewind» al pasado 15 de diciembre. En una de las listas de discusiones pertenecientes a Google Security Research, Tavis Ormandy, investigador al que hemos mencionado en otra ocasión, publicó el llamado «Issue 675» donde describe una grave falla de seguridad provocada por la extensión AVG Web TuneUp para Google Chrome. De acuerdo a Ormandy, cuando un instala AVG Antivirus en su sistema, el instalador añade dicha extensión al navegador de manera forzosa. Ormandy explica que la extensión inserta varios API’s de JavaScript a Chrome, de modo tal que puede secuestrar elementos como parámetros de búsqueda y la página de «nueva pestaña». También destaca que el proceso de instalación es muy complicado, debido a que necesita evadir todos los chequeos de malware internos que posee Chrome, y que buscan impedir esta clase de abuso.
En resumen, la extensión era un verdadero desastre de seguridad. Ormandy no debió realizar un gran esfuerzo para crear un exploit capaz de robar cookies de avg.com, el historial de navegación y otros datos del . Con un poco más de trabajo podría haberlo convertido en un ataque listo para brindar ejecución de código en forma remota, pero decidió comunicarse con AVG y explicar la situación. El intercambio no fue agradable: La extensión causa tantos problemas que Ormandy no sabía si reportarla como vulnerabilidad, o elevarla al equipo de investigación de extensiones para declararla como un PUP (Potentially Unwanted Program). Y aún hay más: AVG presentó una nueva versión de la extensión, sin embargo, todo lo que hizo fue aplicar una «whitelist» para todas las solicitudes que tengan «avg.com» en su nombre... que dicho sea de paso, puede ser evadida con un ataque «man-in-the-middle».
El parche definitivo para AVG Web TuneUp se materializó el pasado 28 de diciembre, pero las instalaciones de la extensión quedaron suspendidas hasta nuevo aviso, mientras el equipo de la Tienda de Chrome investiga una posible violación de los términos por parte de AVG. Esta suspensión no afecta a las actualizaciones, y todos los que tengan la extensión en su navegador (9 millones de s activos) deberían recibir la nueva versión. Un portavoz de AVG indicó que la instalación de Web TuneUp es completamente opcional… pero ese no es precisamente el punto. El punto es que la extensión comprometió a todo el navegador para tomar control de dos elementos en su interior. En lo personal, creo que AVG se quedó sin crédito.
Un hecho lamentable, no toda la gente entiende y sabe pero deven ocuparse mas de crear copias de seguridad y aun algo que para mi es mas efectivo es crear imagen de disco y guardarla, primero formatear, luego instalar todos los controladores correspondientes a la placa y todo el Hardware si disponemos de ellas, (lo bueno de armar tu propia PC), luego todas las actualizaciones de Windows luego instalar los programas indispensables que usemos y por ultimo actualizar todos los controladores, asi con el sistema operativo a punto y limpio de cualquier basura que ronde la internet procedemos a crear la imagen de disco, si en algun momento nos infectamos o sospechamos sera muchisimo mas rapido volver a dejar nuestro sistema a punto usando la imagen de disco que se encarga de formatear y reinstalar en un pestañaso todo nuestro sistema completo, luego buscaremos actualizaciones del sistema y los controladores para estar a la ultima, conviene cada cierto tiempo crear nuevas imagenes de disco para no tener tantas actualizaciones acumuladas, pero siempre cada imagen que se cree se creara desde la imagen anterior limpia recien instalada y actualizada, asi nos mantenemos actualizados y limpios.
Debes iniciar sesión para publicar un comentario.