https://code.google.com/p/google-security-research/issues/detail?id=675
요약:
AVG 백신을 크롬 브라우저와 연동시키는 "Web TuneUP"이라는 플러그인에 심각한 보안취약점 발견. 사용자의 쿠키, 세션, 인터넷 방문기록 등이 모두 노출될 수 있으며 SSL도 무용지물이 되어버린다고 함. AVG 측에서 패치를 내놓았으나 전혀 고쳐진 것이 없어서 크롬 스토어에서 거부당함. 다시 패치했으나 이번에는 AVG 공식 홈페이지의 XSS 취약점을 사용해서 이 플러그인 사용자를 해킹할 수 있다는 것까지 알려짐.
뒷이야기:
AVG에서 제공하는 플러그인은 크롬 자체의 보안기능을 강제로 우회하고 설치되기 때문에 구글에서도 손을 쓸 수가 없음. 구글 개발자 빡쳐서 취약점을 공개해 버림. 원래 보안 취약점은 90일간 엠바고를 유지하여 문제의 플러그인을 수정할 기회를 주는 것이 구글 정책이지만, 백신 만드는 회사가 자기네 공홈에 XSS 취약점도 못 고치고 있으니 크롬 플러그인도 제대로 고칠 의지가 없어 보인다고 판단한 듯...
다른 개발자들의 반응:
AVG뿐 아니라 어베스트, 카스퍼스키 등 대부분의 외산 백신이 똑같음. 백신 자체가 악성코드라고 주장하는 사람도 많음.
다른 회사에서 제공하는 무료 백신을 쓰느니 차라리 MS에서 제공하는 MSE를 써라. 윈도우8 이후 버전에는 MSE가 Windows Defender에 기본으로 내장되어 있다. 치료 능력이 다소 떨어지긴 하지만, 얘는 그래도 악성코드는 아니다.
백신이 브라우저 플러그인을 설치하려고 하거나, SSL 연결을 감시하는 기능을 제공한다면 꺼야 한다. 이런 기능을 안전하게 제공하는 것은 불가능에 가깝다. (SSL 감시 기능은 사실상 해킹임.)
