Verificou-se que uma ferramenta popular significou para repelir o malware continha uma falha que colocar milhões de dados pessoais das pessoas em risco.
Software TuneUp Web do AVG é comercializado como uma forma gratuita para os usuários a defender-se de "ameaças ocultas".
Mas no início deste mês a equipe de segurança do Google percebeu que era recursos de segurança primordiais construídas no navegador Chrome da empresa de pesquisa.
AVG disse que tinha abordado o problema, mas agora enfrenta repercussões.
Tavis Ormandy, do Google primeira sinalizado a questão a outros membros de sua equipe de Project Zero no dia 15 de dezembro.
Ele destacou que TuneUp Web era "força instalar" um plug-in para o Google Chrome, o que significa que os usuários do produto não tinha nenhuma maneira de optar por ele, que altera as configurações do navegador.
Como resultado, ele disse, história de internet das pessoas e outros dados pessoais poderia ser visto por outras pessoas se eles sabiam onde procurar online. Além disso, disse ele, o código poderia deixar hackers espionar e-mail das pessoas e outras atividades on-line.
'Tom áspero "
Em 15 de dezembro, entrou em contato com a empresa de segurança cibernética baseada em Amesterdão.
"Desculpas para o meu tom áspero, mas eu realmente não estou entusiasmado com esse lixo que está sendo instalado para usuários do Chrome", escreveu ele.
"Minha preocupação é que o software de segurança é desabilitar a segurança web para nove milhões de usuários do Chrome, aparentemente, de modo que você pode seqüestrar as configurações de pesquisa e uma página de nova aba.
"Espero que a gravidade deste problema está claro para você, que fixa deve ser sua maior prioridade."
Mensagens entre as duas organizações revelam que a tentativa inicial de AVG para resolver a falha não funcionou.
Mas na terça-feira, o Sr. Ormandy confirmou que uma nova versão do plug-in tinha resolvido o problema.
AVG confirmou o fato em um comunicado.
"Agradecemos a Equipa de Investigação de segurança do Google por fazer-nos conscientes da vulnerabilidade com a extensão Chrome opcional TuneUp Web", disse.
"A vulnerabilidade foi corrigida; a versão fixa foi publicado e atualizado automaticamente para os usuários."
Entretanto, o Sr. Ormandy AVG também informou que seriam impedidos de auto-instalar o plug-in para novos usuários TuneUp Web como consequência do desastre.
"Instalações inline são desativadas enquanto a equipe CWS [Chrome Web Store] investigar possíveis violações da política", escreveu ele.
Segunda falha
Um perito independente de segurança disse que o caso deve servir como um aviso.
"A vulnerabilidade Google descobriu é muito grave, e permitiu que qualquer site para acessar as senhas e outras informações confidenciais para qualquer outro site que o cliente AVG tinha visitado", comentou o Dr. Steven Murdoch da University College London.
"Embora seja agora fixo, isso mostra que quase qualquer software instalado em um computador pode introduzir vulnerabilidades de segurança, mesmo que o software se destina a melhorar a segurança."
Esta é a segunda vez que um problema com os produtos da AVG foi destaque este ano.
Em março, os pesquisadores Ensilo sinalizado que o programa da empresa de Internet Security 2015 continha um bug que tornou possível que hackers para adicionar código para PCs com Windows que desabilitar algumas das próprias medidas de protecção da Microsoft.
Fornecido por: BBC 2015.( STOP)
