Az "ingyenesen" használható antivírusok készítői híresek arról, hogy szeretnek potenciálisan kéretlen beépülőket telepíteni a böngészőkbe, állításaik szerint ezekkel ugyanis növelhető a felhasználók biztonsága. December közepén a Google egyik biztonsági kutatója alaposan leszedte a keresztvizet az AVG-ről, ugyanis a cég Web TuneUp beépülője súlyos sebezhetőségeket nyitott a Chrome böngészőben, adathalászatra is használható volt. A plugin önmagában is telepíthető a Chrome Áruházból, de az AVG persze az antivírusainak installációjakor is megpróbálja rásózni azt a felhasználókra.
A Web TuneUp alapvetően nem túl komplikált megoldás: egy online adatbázisban ellenőrzi a keresési találatokként megjelent webhelyek megbízhatóságát, jelezni próbálja a veszélyes webhelyeket. A beépülő működésének vizsgálata után Tavis Ormandy e-mailben tájékoztatta a felfedezett problémákról az AVG illetékeseit, mondandóját nyomatékosítva rögtön szemétnek titulálta a beépülőt.
Telepítéskor a Web TuneUp kikerülte a Chrome beépített kártevővédelmét, a keresési kifejezések és beállítások "eltérítése" érdekében új API-kat adott a böngészőhöz, azok segítségével viszont a támadók ellophatták az AVG.com sütijeit, hozzáférhettek a felhasználók böngészési előzményeihez, egyéb személyes adataikhoz. Ormandy szerint fennállt a veszélye, hogy az extra API-kat távoli kódfuttatásos támadásokhoz is fel lehetett volna használni, a bűnözők akár HTTPS-es webhelykbe is saját JavaScript-kódokat fecskendezhettek volna.
Az AVG hírünk írására két frissítést is kiadott a közel 9 millió Chrome-böngészőben használt Web TuneUp kiegészítőhöz, elméletileg sikerült befoltozni az összes sérülékenységét.
(Forrás: Ars Technica, Google Security Research)