"Müll": Google-Sicherheitsforscher zerlegt AVG-Chrome-Erweiterung
AVG will als Antiviren-Anbieter das Web sicherer machen und den Computer des Nutzers schützen. So ist jedenfalls die Theorie bzw. der Optimalfall. Doch laut Tavis Ormandy, einem Sicherheitsforscher bei Googles Project Zero-Initiative, macht die Chrome-Erweiterung von AVG genau das Gegenteil, da sie von Schwachstellen regelrecht durchsiebt ist bzw. war.
Mehr als neun Millionen Chrome-Nutzer haben die Chrome-Erweiterung Web TuneUp installiert. Doch damit erreichen sie nicht ein Mehr an Sicherheit (durch das Blocken unsicherer Webseiten), sondern ziemlich genau das Gegenteil: Wie Tavis Ormandy von Google in einem Beitrag darlegt, füge die Extension zahlreiche JavaScript-APIs zu Chrome hinzu (via The Register).
Das war der Beginn einer regelrechten Tirade über das AVG-Tool: Denn laut Ormandy kapern die hinzugefügten APIs die Sucheinstellungen sowie die "Neuer Tab"-Seite. Der Installationsvorgang ist absichtlich kompliziert, sodass die Malware-Überprüfung von Chrome gezielt ausgehebelt werden kann. Das Problem dabei sei aber, dass "viele der APIs kaputt sind", so der Google-Mann.
Der angehängte Exploit stehle Cookies von der AVG-Seite, entblößt den Suchverlauf und andere persönliche Nutzerdaten. Laut Ormandy könnte das Tool vermutlich auch leicht für (Man-in-the-Middle-)Angriffe auf die jeweiligen Nutzerrechner ausgenutzt werden.
In einem weiteren Beitrag, in den er die von ihm an AVG geschickte Mail reinkopiert hat, wählt er noch härtere Wörter. Er entschuldigt sich zu Beginn für den "harschen Ton", bezeichnet die Extension aber als "Müll", von dem er alles andere als begeistert ist. Er ist sich nicht einmal sicher ob er das als Schwachstelle melden soll oder als PuP, also "potentially unwanted program", also Malware.
AVG hat eigenen Angaben nach die Lücken in mehreren Schritten gestopft, Ormandy bestätigt das mittlerweile auch vorsichtig. Inline-Installationen bleiben aber nach wie vor deaktiviert, damit das Chrome Web Store-Team etwaigen Richtlinien-Vergehen nachgehen kann.
Download Bitdefender Total Security 2015: Testversion Download Avast! Free Antivirus 2016 Download Avira Free Antivirus 2015
Das war der Beginn einer regelrechten Tirade über das AVG-Tool: Denn laut Ormandy kapern die hinzugefügten APIs die Sucheinstellungen sowie die "Neuer Tab"-Seite. Der Installationsvorgang ist absichtlich kompliziert, sodass die Malware-Überprüfung von Chrome gezielt ausgehebelt werden kann. Das Problem dabei sei aber, dass "viele der APIs kaputt sind", so der Google-Mann.
Der angehängte Exploit stehle Cookies von der AVG-Seite, entblößt den Suchverlauf und andere persönliche Nutzerdaten. Laut Ormandy könnte das Tool vermutlich auch leicht für (Man-in-the-Middle-)Angriffe auf die jeweiligen Nutzerrechner ausgenutzt werden.
In einem weiteren Beitrag, in den er die von ihm an AVG geschickte Mail reinkopiert hat, wählt er noch härtere Wörter. Er entschuldigt sich zu Beginn für den "harschen Ton", bezeichnet die Extension aber als "Müll", von dem er alles andere als begeistert ist. Er ist sich nicht einmal sicher ob er das als Schwachstelle melden soll oder als PuP, also "potentially unwanted program", also Malware.
AVG hat eigenen Angaben nach die Lücken in mehreren Schritten gestopft, Ormandy bestätigt das mittlerweile auch vorsichtig. Inline-Installationen bleiben aber nach wie vor deaktiviert, damit das Chrome Web Store-Team etwaigen Richtlinien-Vergehen nachgehen kann.
Download Bitdefender Total Security 2015: Testversion Download Avast! Free Antivirus 2016 Download Avira Free Antivirus 2015
Thema:
AVG Ultimate 2022 im Preisvergleich
Neueste AVG-Downloads
Videos zum Thema
-
Super Bowl 2023: CrowdStrike zeigt, wie man echte Trojaner abwehrt
-
Vorsicht vor Windows Toolbox: Malware kommt unerkannt mit
-
Geht immer noch: So kann sich Malware per E-Mail einschleichen
-
Software-Downloads: So schnell kann man sich Malware einfangen
-
Geschickter Android-Trojaner klaut Nutzern via PayPal-App Geld
Beiträge aus dem Forum
Interessante Links
Beliebt im Preisvergleich
- Antivirus:
Neue Nachrichten
- Nur für 3 Stunden: Riesiger 85" Mini-LED-TV bei Media Markt im Angebot
- Zero Trust: Windows Server startet verschlüsselte Namensauflösung
- Nvidia GPU RTX Pro 6000: Preis steigt um krasse 55 Prozent
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
- Spiele bis zu 95 % schneller laden: Riesiger Boost für AMD-GPUs ist da
Videos
Neueste Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen