Muitos são os usuários que descartam criptografia pois acreditam ser desnecessária tal medida, já que usam programas anti-vírus, firewall e anti-Malware.
Extensão AVG/Chrome expõe dados de usuários
São programas excelentes e que devem estar presentes em qualquer equipamento, mas não protegem o usuário em relação ao contexto que a criptografia atinge. São todos programas com objetivos diferentes e bem delineados em cada campo de atuação.
Alguns destes programas têm a capacidade de se anexar aos navegadores (Edge, Chrome, Firefox, Internet Explorer, Safari, Opera, etc) objetivando proteger o usuário contra vírus que possam penetrar o sistema através da navegação na Internet. Para isso, utilizam “extensões de navegadores”, pequenos programas que criam a interface entre o navegador e o anti-vírus.
E em relação aos anti-virus e firewall, várias têm sido as falhas reportadas, como o caso recente do AVG, Kaspersky e McAfee, como relato a seguir.
Foi descoberta hoje que, a extensão do Chrome que o AVG AntiVirus usa e é instalado automaticamente nos sistemas dos usuários, expõe o histórico de navegação e outros dados pessoais na Internet, conforme relatado pelo Google Project Zero (grupo depesquisa de ameaças do Google), através do pesquisador Tavis Ormandy.
De acordo com o relatório de Ormandy, a extensão Chrome, apelidada TuneUp Web AVG e com a IDchfdnecihphmhljaaejmgoiahnihplgn, é instalada sem o conhecimento do usuário durante a instalação do produto e adiciona uma série de vulnerabilidades ao navegador, colocando, assim, os seus mais de 9 milhões de usuários instalados em risco.
O pesquisador explica que a extensão foi projetada para adicionar numerosos códigos JavaScript API no Chrome para interceptar as configurações de pesquisa e de “nova página/nova aba”, mas muitas dessas APIs estão quebradas ou mal-projetadas. Além disso, ele observa que o processo de instalação da extensão é tão complicado, que pode afetar as próprias rotinas de verificação de malware do Chrome, que foram projetadas especificamente para prevenir o abuso desta API de extensão.
Nenhum comentário:
Postar um comentário