Las extensiones de AVG para Chrome exponen datos

Según un investigador del proyecto Google Project Zero, una extensión que el antivirus AVG instala automáticamente en los sistemas de sus usuarios expone el historial de búsquedas y otros datos personales hacia Internet.

De acuerdo con esta investigación, la extensión de AVG para Chrome, AVG Web TuneUp, así como la extensión con id chfdnecihphmhljaaejmgoiahnihplgn, las cuales se instalan forzosamente en las computadoras de los usuarios con el antivirus de esa marca,  añaden una serie de vulnerabilidades al browser, lo cual puso a más de 9 millones de usuarios en riesgo.

El análisis explica que dicha extensión fue diseñada para añadir numerosas API de JavaScript a Chrome, a fin de revisar los settings de búsqueda, así como la página de nuevas direcciones, aunque muchas de esas extensiones están rotas. Más aún, el proceso de instalación de la extensión es tan complicado que puede saltarse el chequeo de malware de Chrome, el cual fue diseñado para evitar el abuso de las extensiones API.

 Entre las vulnerabilidades que AVG Web TuneUp agrega, se menciona un Script cross-site, el cual permite a sitos ejecutar scripts en el contexto de otros dominios. Asimismo, podría leer correos de Gmail y realizar otras acciones, pues es una grave falla de seguridad.

 De la mismo forma, la falla puede ser usada para ejecución remota de código, así como para robar cookies de avg.com. Al parecer, AVG  corrigió esta falla en la versión 4.2.5.169, pero Chrome ha deshabilitado la instalación automática, por lo que es necesario que el usuario entre a la tienda de AVG y la instale manualmente.