AVGプラグインはChromeのユーザーデータをさらす

アンチウイルスファームのAVGがリリースしたGoogle Chrome向けのプラグインは、意図的にWebブラウザーのセーフガードをオーバーライドし、結果的に悪意のあるWebサイトにユーザーデータを晒すことになった。AVG Web TuneUpという名前のプラグインは、表だっては危険なWebサイトや検索結果に訪問したときにユーザーに警告することを意図している。彼らがAVGプラグインの欠陥をターゲットにした悪意のあるWebサイトに訪問したとき、クロスサイトスクリプティング攻撃によりユーザーの脆弱を放置することになる。

Googleのセキュリティ研究員Tavis Ormandy氏の調査作業によると、AVGプラグインのユーザーは、悪意のあるWebサイトによって彼らの閲覧履歴と個人データが盗まれる脆弱性が見つかったことを明らかにした。Ormandy氏の指摘によると、AVGの拡張は具体的にChromeのレンダリングユーザーのシステム脆弱性マルウェアチェックをバイパスしている。12月21日の彼の元投稿に対するフォローアップにおいてOrmandy氏は、現在提供されている最新バージョンのAVGのWeb TuneUp(4.2.5.169)では、当初の問題は解決されていると述べている。しかしながら、“mysearch.avg.com”と“webtuneup.avg.com”ドメインでだけ使われるようにプラグインを強制することで部分的にはそうである—サイトが危険にさらされている場合、脆弱性はまだ悪用される可能性があるため、リスクは完全に排除されてはいない。

さらにパッチは12月28日にAVGによって提出されたが、Chrome Webストアのプライバシー条項にAVGプラグインが違反していないかどうかを調査するためGoogleによってレビュー中である。最高レベルの安全性を求めているユーザーは、問題が解決するまでブラウザからプラグインを削除する必要がある。AVGの不要な注意ははじめてではなく、以前、PC WorldのJared Newman氏は、プライバシーポリシーの変更は、AVGが個人を特定しないユーザーのデータを販売していることを意味していると指摘した。