AVG社のChrome用セキュリティアドオンの欠陥で900万人の個人情報が危険にさらされていたことが発覚

巷には有料無料を問わず、数多くのセキュリティソフトが溢れています。Chromeにはアドオンという形でセキュリティを担うソフトがありますが、AVG社のアドオンに欠陥が見つかり、900万人の個人情報が閲覧できるようになっていたことが発覚しました。AVG社は既に修正したと発表していますが、Googleは念のためにインラインインストールを停止する措置を取りました。

Popular antivirus extension from AVG puts millions of Chrome users in danger

http://bgr.com/2016/01/01/avg-antivirus-chrome-security-issues/

avg-web-tuneup

スポンサーリンク

AVG社のChrome用アドオン「Web Tuneup」に欠陥が存在

セキュリティソフトを導入しないのは大変危険な行為です。それはよくご存じだと思いますが、実はブラウザベースのソリューションの中にはそれ以上に危険なものもあります。Googleより12月15日に提出されたバグレポートによると、オランダのアンチウイルスソフトメーカー「AVG」社の提供するChrome用アドオン「Web Tuneup」に欠陥が見つかり、900万人分の個人情報が手順を知っているハッカーにかかれば閲覧できる状態になっていたことがわかりました。現在ではこの問題は修正されています。

情報サイト「gHacks」によると、このアドオンは以前から問題点が指摘されていたと言います。このアドオンは初期設定を変更し、Chromeを使っている時のユーザー体験にネガティブな影響を与えうることが言われていましたが、変更された設定を再度変更するにはアドオンを使わないようにしなくてはいけません。そしてAVG社のプライバシーポリシーには、同社はユーザーデータを収集し、個人が特定できない形でサードパーティーに販売する事が出来ると明記されているのです。

怒れるGoogle、言葉も荒々しく抗議

ですが今回の騒動で一番腹を立てたのは、何を隠そうchromeの開発元であるGoogleだったのです。以下にその怒りに満ちた報告文を載せます。

「言葉がとげとげしいものになってしまうので、先に謝罪しておきます。当方はChromeユーザーがこのクズをインストールすることについて、良い気が全く致しません。このアドオンは大変な不具合を起こしているようですので、脆弱性としてご報告すべきか、あるいはこのアドオンはセキュリティ用途の物なのか否かを調査してもらうよう依頼すべきか、判断いたしかねます。

さて、それとは別に当方が問題といたしますのは、御社のセキュリティソフトが900万人のChromeユーザーのウェブセキュリティを無効化しており、検索設定や新しいタブページを御社がジャックできるということです。

実行可能な明らかな攻撃手段が多数存在しています。例を挙げれば、「ナビゲート」APIに小さなよく見られるクロスサイトスクリプティングがあります。あらゆるウェブサイトが他のドメインでスクリプトを実行できるようにするものです。たとえば、attacker.comはmail.google.comや corp.avg.com、その他のサイトのメールを読み込む事が出来るのです」

問題を修正するも、Googleの怒りは冷めず

このレポートが提出されてからすぐにAVG社はバグを修正しましたが、Googleは修正されたことを認めませんでした。12月21日には2回目の修正が行われ、Googleもそれを受け入れはしたものの、念のためにインラインインストールを停止しました。

もしもAVG社のWeb Tuneupアドオンを使用しているのでしたら、他のセキュリティソリューションを考えてみるのも一つの選択肢になるでしょう。

スポンサーリンク