Google dénonce actuellement une situation mise en place par AVG qui peut porter atteinte à la sécurité des utilisateurs. Tavis Ormandy, chercheur en sécurité pour Google Projet Zero indique ainsi dans une note que lorsque les utilisateurs installent la solution antivirale AVG, cette dernière impose le téléchargement obligatoire de l'extension AVG Web TuneUp sous Chrome. Actuellement, l'extension compterait pas moins de 9 millions d'utilisateurs.

La chose devient problématique lorsque cette même extension, censée protéger les utilisateurs, se présente comme une porte d'entrée pour différentes attaques. L'extension embarque ainsi des interfaces de programmation de Chrome qui permettent de modifier les paramètres de recherche, la page affichée au lancement du navigateur ou dans un nouvel onglet... En bref, l'extension intègre un attirail logiciel si conséquent qu'il passe outre le dispositif de détection de malware de Chrome, censé bloquer les abus liés à l'utilisation même de ces API.

Or, en exploitant convenablement ces API avec l'extension d'AVG, il serait possible de récupérer l'historique de navigation des utilisateurs, ainsi qu'un ensemble de données personnelles.

AVG a corrigé le tir suite aux remarques de Google : l'extension AVG Web TuneUp n'est plus imposée à l'installation de son antivirus. L'extension en elle-même a été patchée, et il faut désormais se rendre sur le Chrome Web Store pour l'installer.

Source : Google