BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

AVG插件泄漏Chrome用户数据

| 作者 Jeff Martin 关注 16 他的粉丝 ,译者 康锦龙 关注 0 他的粉丝 发布于 2016年1月8日. 估计阅读时间: 2 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

杀毒软件厂商AVG发布的一款Google Chrome插件,故意覆盖了浏览器的安全设置,致使用户数据暴露给恶意网站。这款名为AVG Web TuneUp的插件,本意是当用户访问不安全的网站或搜索结果时发出警告。但结果恰恰相反,该插件导致用户在访问恶意网站时,很容易遭受跨站脚本的攻击。

谷歌安全研究员Tavis Ormandy的研究结果表明:AVG插件的用户会发现系统中的浏览历史记录和个人数据很容易被恶意网站所窃取。Ormandy指出,因为该插件特意绕过了Chrome的恶意软件检查机制,导致用户的系统易受攻击。12月21日,Ormandy在原帖中更新并指出,当时最新版的AVG Web TuneUp(4.2.5.169)虽然修复了之前的问题,但只是强制插件仅在“mysearch.avg.com”和“webtuneup.avg.com”的域名下使用,并非完全修复——风险依然存在,如果上述网站曾受到攻击,那么这些漏仍旧可以被利用。

AVG公司已于12月28日提交了最新的补丁,但目前仍处于审查之中——Google需要审查AVG该款插件是否违反Chrome网上应用店的隐私条款。对于追求最高安全等级的用户而言,只有将该插件从浏览器中删除才能彻底解决该问题。这并非AVG公司第一次引起大众关注,早在今年秋季,PC World的Jared Newman曾指出AVG隐私政策的变化,这意味着AVG将出售用户的非个人(Non-personal)数据。

查看英文原文:AVG Plugin Exposes Chrome User Data


感谢康锦龙对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者(已满),InfoQ读者交流群(#2)InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT