主要观点:多年前发现 Avast 浏览器存在严重漏洞及间谍行为,如今 Avast 道歉并关停相关业务,现重新审视 Avast 安全浏览器。该浏览器随其他杀毒软件自动安装,虽号称免费但充斥广告,安全和隐私方面存在诸多问题,如预安装的扩展程序存在安全机制被禁用、广告拦截隐私缺失、引导体验不佳等问题,多个扩展程序可被恶意利用,Avast 网站及相关域名拥有大量特权,涉及众多公司,存在安全隐患,Avast 应限制攻击面并加强安全审查。
关键信息:
- 多年前发现 Avast 浏览器漏洞及间谍行为,后 Avast 道歉并关停相关业务。
- Avast 安全浏览器随其他杀毒软件自动安装,号称 100%免费但有广告。
- 预安装的扩展程序存在多种安全问题,如 Video Downloader 扩展程序权限过大、CSP 保护被削弱等。
- Privacy Guard 扩展程序可被恶意网站利用获取用户浏览信息,且其设置页面存在 HTML 注入漏洞。
- Messaging 扩展程序可被任意扩展或 Avast 网站消息,用于引导用户进行各种操作。
- Avast 网站及相关域名拥有大量特权,涉及众多公司,存在安全隐患,如第三方服务的跨站脚本漏洞可导致 API 被滥用。
重要细节:
- 视频下载器扩展程序权限请求过多,允许执行动态脚本,目前虽有所改善但仍存在问题。
- Privacy Guard 扩展程序可被任意扩展或特定网站消息,暴露用户浏览信息,且其设置页面存在 HTML 注入漏洞。
- Messaging 扩展程序可处理从特定地址下载的规则,用于引导用户进行各种操作,还可调用 Avast 的私有 API。
- Avast 网站及相关域名拥有大量特权,涉及众多公司,如 OneTrust、Google 等,存在安全隐患,且 Avast 未对第三方服务进行安全审查。
- 官方给予这些特权的原因是辅助引导体验,但这种方式存在安全风险,应限制攻击面并加强安全审查。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。