Un usuario de Chrome descubrió que al instalar el antivirus AVG en su
ordenador, éste le forzaba a instalar también una extensión para el navegador
llamada AVG Web TuneUp.
Lo malo no era sólo el verse obligado a instalar un elemento extra quisieras o no, sino que además la extensión en sí añadía numerosas APIs de JavaScript, concienzudamente integradas en la instalación para evitar las comprobaciones de seguridad Chrome - programadas precisamente para evitar el abuso de APIs.
Detalle del fallo de segurodad
- La extensión estaba plagada de fallos, de forma que cualquiera con unos ciertos conocimientos de programación podría usar sus APIs para lanzar todo tipo de ataques contra el navegador de quienes la tuvieran instalada - hasta ese momento, casi 9 millones de personas. El usuario que destapó esta vulnerabilidad envió un email a AVG avisándoles de la gravedad del asunto, y poniéndoles como ejemplo un exploit capaz de robar cookies de avg.com, mostrar el historial de navegación del usuario, o incluso permitir a cualquier dominio ejecutar scripts en el contexto de otro dominio. Como caso más grave, el dominio personal de alguien podría llegar a leer correos de mail.google.com, o cualquier otro servidor online de correo.
- En AVG han sido muy rápidos resolviendo la vulnerabilidad y la extensión se ha actualizado con una nueva versión antes de que finalizara el plazo otorgado por Google. Sin embargo, el equipo de Google Web Store está investigando el caso por una posible violación de políticas, provocada probablemente por el abuso de APIs en la extensión.
- Casos como éste nos hacen reflexionar sobre nuestra seguridad como usuarios de Internet, y cómo nos podemos ver expuestos a ataques incluso por parte de quienes dicen protegernos de ellos. Los antivirus y demás programas de seguridad lo tienen cada vez más difícil para luchar contra el malware, que cada día se presenta de formas más diferentes.
- Por ello la piedra angular de la seguridad online debe ser el propio usuario: estar informado, leer todo bien antes de instalar cualquier cosa en el PC y ser un poco desconfiado y escéptico puede ayudar a proteger nuestro ordenador - bastante más que una supuesta extensión de seguridad.
