Se supone que las soluciones provenientes de una compañía de seguridad deben ayudar a proteger los ordenadores de millones de usuarios. Al mismo tiempo, es necesario destacar que los desarrolladores tienen sangre en las venas, y que un error o dos pueden escaparse a último momento. Pero el caso de la extensión AVG Web TuneUp para Google Chrome fue tan grave que disparó toda una serie de reacciones en Mountain View, incluyendo su bloqueo temporal en la Tienda de Chrome.
Pequeño «rewind» al pasado 15 de diciembre. En una de las listas de discusiones pertenecientes a Google Security Research, Tavis Ormandy, investigador al que hemos mencionado en otra ocasión, publicó el llamado «Issue 675», donde describe una grave falla de seguridad provocada por la extensión AVG Web TuneUp para Google Chrome. De acuerdo a Ormandy, cuando un usuario instala AVG Antivirus en su sistema, el instalador añade dicha extensión al navegador de manera forzosa. Ormandy explica que la extensión inserta varios API’s de JavaScript a Chrome, de modo tal que puede secuestrar elementos como parámetros de búsqueda y la página de «nueva pestaña». También destaca que el proceso de instalación es muy complicado, debido a que necesita evadir todos los chequeos de malware internos que posee Chrome, y que buscan impedir esta clase de abuso.
En resumen, la extensión era un verdadero desastre de seguridad. Ormandy no debió realizar un gran esfuerzo para crear un exploit capaz de robar cookies de avg.com, el historial de navegación y otros datos del usuario. Con un poco más de trabajo podría haberlo convertido en un ataque listo para brindar ejecución de código en forma remota, pero decidió comunicarse con AVG y explicar la situación. El intercambio no fue agradable: La extensión causa tantos problemas que Ormandy no sabía si reportarla como vulnerabilidad, o elevarla al equipo de investigación de extensiones para declararla como un PUP (Potentially Unwanted Program). Y aún hay más: AVG presentó una nueva versión de la extensión, sin embargo, todo lo que hizo fue aplicar una «whitelist» para todas las solicitudes que tengan «avg.com» en su nombre… que dicho sea de paso, puede ser evadida con un ataque «man-in-the-middle».
El parche definitivo para AVG Web TuneUp se materializó el pasado 28 de diciembre, pero las instalaciones de la extensión quedaron suspendidas hasta nuevo aviso, mientras el equipo de la Tienda de Chrome investiga una posible violación de los términos por parte de AVG. Esta suspensión no afecta a las actualizaciones, y todos los que tengan la extensión en su navegador (9 millones de usuarios activos) deberían recibir la nueva versión. Un portavoz de AVG indicó que la instalación de Web TuneUp es completamente opcional… pero ese no es precisamente el punto. El punto es que la extensión comprometió a todo el navegador para tomar control de dos elementos en su interior. En lo personal, creo que AVG se quedó sin crédito.
One Comment
Leave a Reply