AVG插件泄漏Chrome用戶數據

英文原文：AVG Plugin Exposes Chrome User Data

殺毒軟件廠商 AVG 發布的一款 Google Chrome 插件，故意覆蓋了瀏覽器的安全設置，致使用戶數據暴露給惡意網站。這款名為 AVG Web TuneUp 的插件，本意是當用戶訪問不安全的網站或搜索結果時發出警告。但結果恰恰相反，該插件導致用戶在訪問惡意網站時，很容易遭受跨站腳本的攻擊。

谷歌安全研究員 Tavis Ormandy 的研究結果表明：AVG 插件的用戶會發現系統中的瀏覽歷史記錄和個人數據很容易被惡意網站所竊取。Ormandy 指出，因為該插件特意繞過了 Chrome 的惡意軟件檢查機制，導致用戶的系統易受攻擊。12 月 21 日，Ormandy 在原帖中更新并指出，當時最新版的 AVG Web TuneUp (4.2.5.169) 雖然修復了之前的問題，但只是強制插件僅在“mysearch.avg.com”和“webtuneup.avg.com”的域名下使用，并非完全修復——風險依然存在，如果上述網站曾受到攻擊，那么這些漏仍舊可以被利用。

AVG 公司已于 12 月 28 日提交了最新的補丁，但目前仍處于審查之中——Google 需要審查 AVG 該款插件是否違反 Chrome 網上應用店的隱私條款。對于追求最高安全等級的用戶而言，只有將該插件從瀏覽器中刪除才能徹底解決該問題。這并非 AVG 公司第一次引起大眾關注，早在今年秋季，PC World 的 Jared Newman 曾指出 AVG 隱私政策的變化，這意味著 AVG 將出售用戶的非個人（Non-personal）數據。

來自: InfoQ