Extensão AVG/Chrome expõe dados de usuários


Muitos são os usuários que descartam criptografia pois acreditam ser desnecessária tal medida, já que usam programas anti-vírus, firewall e anti-Malware.

Extensão AVG/Chrome expõe dados de usuários

Extensão AVG/Chrome expõe dados de usuários

São programas excelentes e que devem estar presentes em qualquer equipamento, mas não protegem o usuário em relação ao contexto que a criptografia atinge. São todos programas com objetivos diferentes e bem delineados em cada campo de atuação.

Alguns destes programas têm a capacidade de se anexar aos navegadores (Edge, Chrome, Firefox, Internet Explorer, Safari, Opera, etc) objetivando proteger o usuário contra vírus que possam penetrar o sistema através da navegação na Internet. Para isso, utilizam "extensões de navegadores", pequenos programas que criam a interface entre o navegador e o anti-vírus.

Mascote do Suporte Ninja
Se gostou da nossa iniciativa comente, curta ou compartilhe! Esse estímulo é muito importante para a nossa equipe e reflete diretamente na possibilidade de trazermos mais conteúdos que você venha a gostar!


Continuando...

E em relação aos anti-virus e firewall, várias têm sido as falhas reportadas, como o caso recente do AVG, Kaspersky e McAfee, como relato a seguir.

Foi descoberta hoje que, a extensão do Chrome que o AVG AntiVirus usa e é instalado automaticamente nos sistemas dos usuários, expõe o histórico de navegação e outros dados pessoais na Internet, conforme relatado pelo Google Project Zero (grupo de pesquisa de ameaças do Google), através do pesquisador Tavis Ormandy.

 De acordo com o relatório de Ormandy, a extensão Chrome, apelidada TuneUp Web AVG e com a ID chfdnecihphmhljaaejmgoiahnihplgn, é instalada sem o conhecimento do usuário durante a instalação do produto e adiciona uma série de vulnerabilidades ao navegador, colocando, assim, os seus mais de 9 milhões de usuários instalados em risco.

O pesquisador explica que a extensão foi projetada para adicionar numerosos códigos JavaScript API no Chrome para interceptar as configurações de pesquisa e de "nova página/nova aba", mas muitas dessas APIs estão quebradas ou mal-projetadas. Além disso, ele observa que o processo de instalação da extensão é tão complicado, que pode afetar as próprias rotinas de verificação de malware do Chrome, que foram projetadas especificamente para prevenir o abuso desta API de extensão.

Extensão AVG/Chrome expõe dados de usuários

Entre as vulnerabilidades que TuneUp Web AVG traz junto, o pesquisador menciona um "trivial universal" XSS (Cross-Site Scripting) na API "navegação", o que poderia permitir que sites de executar scripts no contexto de quaisquer outros domínios. De acordo com Ormandy, um site poderia ler e-mails de mail.google.com (e executar ainda outras ações!) devido a esta falha de alta gravidade.

O pesquisador do Google Project Zero também explica que a extensão expõe o histórico de navegação de um usuário à Internet.

Ele também observa que a extensão e as APIs colocadas pelo AVG podem também ser usadas para permitir a execução remota de código, neste caso, permitir a instalação e/ou execução de programas não autorizados que podem "sequestrar" a máquina do usuário daí para a frente.

Em resumo: o programa que deveria proteger o usuário em verdade cria uma série de riscos potencialmente graves, que com certeza podem ser explorados por milhares de formas diferentes.

Ormandy prosseguiu dizendo que a extensão ainda estava permitindo que um invasor Man-in-the-Middle (MITM) injetar código JavaScript em *qualquer origem*, até mesmo uma origem segura (HTTPS sites), negando assim a proteção SSL para aqueles que usam a extensão. Na prática, seria como durante seu acesso ao seu Banco, um invasor pudesse efetivamente espionar tudo que você digita (incluindo senhas de acesso), possibilitando um ataque no momento ou posteriormente.

A AVG parece ter resolvido as questões de segurança na versão 4.2.5.169 da extensão AVG Web TuneUp Chrome.

No entanto, a equipe Chrome Web Store desativou as instalações em linha para esta extensão, o que significa que os usuários precisam acessar a loja e baixar a versão atualizada manualmente. Enquanto isso, a equipe Chrome Web Store está investigando possíveis violações de políticas, diz Ormandy.

Em tempo: no início deste mês, a empresa de prevenção e exfiltração de dados enSilo revelou que uma séria vulnerabilidade encontrada no AVG Internet Security 2015, que poderia ter sido explorada por atores maliciosos para contornar recursos de proteção do Windows.

Produtos de segurança, tais como Anti-Virus 2015 MR2 do Kaspersky Internet Security 2015 e MR2, e da Intel Segurança McAfee VirusScan Enterprise versão 8.8 também foram afetados pela falha.

Por David B.Svaiter via Blog do Cifra-Extrema


It has emerged that a popular tool meant to ward off malware contained a flaw that put millions of people's personal data at risk.

AVG's Web TuneUp software is marketed as a free way for users to defend themselves from "hidden threats".

But earlier this month Google's security team spotted that it was overriding safety features built into the search firm's Chrome browser.

AVG said it had addressed the problem, but it now faces repercussions.

Google's Tavis Ormandy first flagged the issue to other members of his Project Zero team on 15 December.

He highlighted that Web TuneUp was "force installing" a plug-in into Chrome, meaning that users of the product had no way to opt out of it altering the browser's settings.

As a result, he said, people's internet history and other personal data could be seen by others if they knew where to look online. Furthermore, he said, the code could potentially let hackers spy on people's email and other online activities.

'Harsh tone'

On 15 December, he contacted the Amsterdam-based cybersecurity firm.

"Apologies for my harsh tone, but I'm really not thrilled about this trash being installed for Chrome users," he wrote.

"My concern is that your security software is disabling web security for nine million Chrome users, apparently so that you can hijack search settings and the new tab page.

"I hope the severity of this issue is clear to you, fixing it should be your highest priority."

Messages between the two organisations reveal that AVG's initial attempt to address the flaw did not work.

But on Tuesday, Mr Ormandy confirmed that a new version of the plug-in had resolved the issue.

AVG confirmed the fact in a statement.

"We thank the Google Security Research Team for making us aware of the vulnerability with the Web TuneUp optional Chrome extension," it said.

"The vulnerability has been fixed; the fixed version has been published and automatically updated to users."

However, Mr Ormandy also informed AVG it would be prevented from auto-installing the plug-in for new Web TuneUp users as a consequence of the debacle.

"Inline installations are disabled while the CWS [Chrome Web Store] team investigate possible policy violations," he wrote.

Second flaw

An independent security expert said the case should serve as a warning.

"The vulnerability Google discovered is very serious, and allowed any website to access the passwords and other confidential information for any other website the AVG customer had visited," commented Dr Steven Murdoch from University College London.

"Although it is now fixed, it shows that almost any software installed on a computer can introduce security vulnerabilities, even if that software is intended to improve security."

This is the second time a problem with AVG's products has been highlighted this year.

In March, researchers at Ensilo flagged that the firm's Internet Security 2015 program had contained a bug that made it possible for hackers to add code to Windows PCs that would disable some of Microsoft's own protection measures.

Fonte: http://www.bbc.com/news/technology-35198435

<


Curta Suporte Ninja no Facebook


Entre no Grupo do Suporte Ninja no Facebook:






O Suporte Ninja disponibiliza espaço no site para que qualquer pessoa que queira contribuir com nosso ideal de produzir, coletar e divulgar informação tentando disponibilizar de forma gratuita material complementar para uma melhor formação profissional em TI, buscamos uma maior conscientização sobre tecnologias sustentáveis além de fornecer dicas que possam otimizar a experiência online dos usuários, seja na produtividade ou na segurança da informação.


No Suporte Ninja procuramos nos manter em um ponto de vista neutro e buscamos respeitar a diversidade de opiniões, todas as informações acima são de responsabilidade do autor e suas fontes, e estão sujeitas a alterações sem aviso prévio.


Mascote do Suporte Ninja
Se gostou da nossa iniciativa comente, curta ou compartilhe! Esse estímulo é muito importante para a nossa equipe e reflete diretamente na possibilidade de trazermos maisconteúdos que você venha a gostar!

Esperamos que tenha sido útil...

Se encontrar algo errado com o site não esqueça que o Site é nosso... <br> Se você quiser perguntar ou sugerir algo para nossa equipe use este link! ou Clique aqui para enviar sua postagem:


Começe a testar Grátis as ferramentas em nuvem do Google
Teste o Google Apps For Work com os cupons do Suporte Ninja e garanta um desconto de $10 Dólares para comprar no Google For Work…

"AE3NNJ6KXTHJ6V" & "6W7NGXXAV7JNVC"


Ou use o  CUPON de desconto do Suporte Ninja T3HJ6JDJKCLRRQH e você vai ganhar um desconto de 20% no Google For Works 🙂


Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes Este artigo demonstra ao público em geral que existem formas de ataque que podem ser feitas aos algoritmos criptográficos que fogem do ...
Leia Mais
Windows 10 te espiona mesmo desabilitando a telemetria

Windows 10 te espiona mesmo desabilitando a telemetria

Há algum tempo atrás postei em nosso grupo do Linked-IN (Criptografia Brasil) vários artigos sobre o fato do Windows 10 espionar dados de usuário - e até Leia Mais
Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza cursos de programação de graça A Microsoft disponibilizou as aulas no site com todo o conteúdo das aulas de programação dos cursos oferecidos na Semana do ...
Leia Mais
Rússia quer banir o Windows para incentivar mercado de software local

Rússia quer banir o Windows para incentivar mercado de software local

Uma decisão bastante controversa, mas ao mesmo tempo totalmente esperada, pode acabar entrando em vigor na Rússia pelas mãos do consultor nacional para a internet German Klimenko. Em ...
Leia Mais
Como fazer uma limpeza profunda em sistemas Debian e derivados

Como fazer uma limpeza profunda em sistemas Debian e derivados

Muitos usuários do sistema operacional Linux e até Admins de distros voltadas para servidores acreditam que a manutenção do linux se baseia apenas em alguns apt-gets update e upgrades durante ...
Leia Mais
100 comandos importantes do Linux

100 comandos importantes do Linux

Resumo de 100 Comandos Importantes Linux Veja neste artigo uma lista dos comandos mais importantes do linux e uma breve explicação de cada um deles. Lista de ...
Leia Mais
ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis A formação permite que os alunos sejam capazes de desenvolver projetos de energia renovável. O curso ...
Leia Mais
Sua Smart TV pode estar risco de segurança

Sua Smart TV pode estar risco de segurança

As Smart-TV´s rodando o sistema operacional Android fornecem funcionalidades adicionais aos usuários, além de TVs normais, mas também criam um risco de segurança, conforme a Trend Micro revela. Leia Mais
Os melhores Apps de Smartphone para aprender programação

Os melhores Apps de Smartphone para aprender a programar

A partir de agora use o seu tempo livre no ônibus, faculdade ou ate mesmo em seu trabalho para aprender novas linguagens. Chega de conversa e vamos lá. Leia Mais
Os 2 Melhores Cursos gratuitos de Arduino

Os 2 Melhores Cursos gratuitos de Arduino

O Suporte Ninja encontrou dois ótimos cursos gratuitos de Arduino (O curso de Android do Laboratório de Garagem e o curso da Pictronics onde você aprende mais sobre eletrônica e ...
Leia Mais
74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos 74% dos internautas não sabem detectar arquivos potencialmente maliciosos de arquivos confiáveis, vamos explicar com calma a polemica das ...
Leia Mais
Caixas-Pretas de navios e aviões podem ser Hackeadas?

Caixas-Pretas de navios e aviões podem ser Hackeadas

As caixas-pretas utilizadas para registro de dados em navios e aviões possuem diversas vulnerabilidades que permitem um atacante modificar ou apagar os dados presentes nestes dispositivos Leia Mais
Conheça CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

Conheça a alternativa brasileira do mundo da criptografia que esta dando um banho nos concorrentes internacionais, CIFRA EXTREMA criptografador realmente seguro e 100% nacional: Algoritmo 100% nacional ...
Leia Mais
Minicurso de Google Analytics com certificado Gratuito

Minicurso de Google Analytics com certificado Gratuito

Curso online com certificado 100% grátis: O guia completo do Google Analytics Princípios básicos e avançados para se medir e gerar resultados. Entenda a importância de conhecer e ...
Leia Mais
Curso-Gratuito-HTML5-1

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC! Curso completo para quem quer aprender a criar sites utilizando as tecnologias de HTML5 + CSS3 ...
Leia Mais
Tablets com malware instalado de fábrica na Amazon e outras lojas...

Tablets com malware instalado de fábrica na Amazon e outras lojas...

Cheetah Mobile, uma empresa de segurança para dispositivos móveis, mostrou nesta semana que pelo menos 30 marcas diferentes de tablets com Android vendidos na Amazon e outras lojas ...
Leia Mais
Video Aula - Curso Completo de programação em C

Video Aula - Curso de Introdução a programação em C

Video Aula - Curso Introdução a programação em C: Se você conhece alguma coisa de programação, já deve ter ouvido falar na linguagem C. As principais características da ...
Leia Mais
Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação. Não é necessário saber Python a partir de um nível de completo conhecimento linguagem de programação. (Curso é ...
Leia Mais
Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Formação Programação para iniciantes (HTML, C#, Java e Android) gratuita. Você que está iniciando no mundo de desenvolvimento e não sabe qual área irá iniciar, o DevMedia desenvolveu uma ...
Leia Mais
Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

O objetivo deste curso é proporcionar ao aluno conhecimentos, competências e habilidades no desenvolvimento de aplicações em C ++, Curso gratuito e com certificado de C ++ de ...
Leia Mais
Starbug afirma e prova: Biometria é falha

Starbug afirma e prova: Biometria é falha

A coisa soa meio maluca, mas em tratando-se de Starbug, eu não riria... Starbug é o pseudônimo de Jan Krissler, um camarada prá lá de excêntrico, mas que ...
Leia Mais

David B. Svaiter

David B Svaiter é um especilista em programação .NET e em criptografia, mantendo o grupo CRIPTOGRAFIA BRASIL no Linked-IN/Brasil. Sócio na Lynchesvaiter Ltda e sócio-diretor (SCP) de S.I. & Criptografia da Big Blue Services Ltda, atua na área de segurança, criptografia e programação de software/hardware desde 1985 usando seu Apple ][.

Você pode gostar...