Il consiglio di tutti gli esperti di sicurezza è quello di usare un antivirus aggiornato. Ma gli utenti che hanno scelto l’antivirus di AVG hanno ottenuto l’effetto contrario. L’add-on per Chrome, Web TuneUp, installato automaticamente insieme al software, può compromettere la sicurezza di quasi 9 milioni di computer, a causa di una grave vulnerabilità scoperta da un ricercatore di Google. Fortunatamente, AVG ha già rilasciato una nuova versione che risolve il problema.
Tavis Ormandy del Google Project Zero ha individuato all’interno del codice dell’estensione numerose API JavaScript che consentono di eludere facilmente i meccanismi di sicurezza di Chrome. Sfruttando la vulnerabilità XSS è possibile, ad esempio, eseguire script che permettono ad un malintenzionato di accedere alla cronologia del browser, alle email e ad altre informazioni personali dell’utente. AVG aveva distribuito un primo fix il 19 dicembre, ma il ricercatore ha verificato che Web TuneUp consente ancora attacchi man-in-the-middle, bypassando quindi la protezione SSL.
Due giorni dopo, la software house ha rilasciato un secondo aggiornamento (la versione 4.2.5.169 disponibile sul Chrome Web Store) che chiude definitivamente la falla di sicurezza. AVG ha inoltre sottolineato che Web TuneUp è un componente opzionale. La sua installazione non avviene in modo automatico, ma deve essere scelta durante il setup dell’antivirus.
Ormandy ha confermato che la vulnerabilità è stata risolta. Tuttavia, Google ha avviato un’indagine per verificare l’eventuale violazione della policy del Chrome Web Store.