"Müll": Google-Sicherheitsforscher zerlegt AVG-Chrome-Erweiterung

AVG will als Antiviren-Anbieter das Web sicherer machen und den Computer des Nutzers schützen. So ist jedenfalls die Theorie bzw. der Optimalfall. Doch laut Tavis Ormandy, einem Sicherheitsforscher bei Googles Project Zero-Initiative, macht die Chrome-Erweiterung von AVG genau das Gegenteil, da sie von Schwachstellen regelrecht durchsiebt ist bzw. war.
Chrome, Avg, Extension, Web TuneUp
AVG
Mehr als neun Millionen Chrome-Nutzer haben die Chrome-Erweiterung Web TuneUp installiert. Doch damit erreichen sie nicht ein Mehr an Sicherheit (durch das Blocken unsicherer Webseiten), sondern ziemlich genau das Gegenteil: Wie Tavis Ormandy von Google in einem Beitrag darlegt, füge die Extension zahlreiche JavaScript-APIs zu Chrome hinzu (via The Register).

Das war der Beginn einer regelrechten Tirade über das AVG-Tool: Denn laut Ormandy kapern die hinzugefügten APIs die Sucheinstellungen sowie die "Neuer Tab"-Seite. Der Installationsvorgang ist absichtlich kompliziert, sodass die Malware-Überprüfung von Chrome gezielt ausgehebelt werden kann. Das Problem dabei sei aber, dass "viele der APIs kaputt sind", so der Google-Mann.

Der angehängte Exploit stehle Cookies von der AVG-Seite, entblößt den Suchverlauf und andere persönliche Nutzerdaten. Laut Ormandy könnte das Tool vermutlich auch leicht für (Man-in-the-Middle-)Angriffe auf die jeweiligen Nutzerrechner ausgenutzt werden.

In einem weiteren Beitrag, in den er die von ihm an AVG geschickte Mail reinkopiert hat, wählt er noch härtere Wörter. Er entschuldigt sich zu Beginn für den "harschen Ton", bezeichnet die Extension aber als "Müll", von dem er alles andere als begeistert ist. Er ist sich nicht einmal sicher ob er das als Schwachstelle melden soll oder als PuP, also "potentially unwanted program", also Malware.

AVG hat eigenen Angaben nach die Lücken in mehreren Schritten gestopft, Ormandy bestätigt das mittlerweile auch vorsichtig. Inline-Installationen bleiben aber nach wie vor deaktiviert, damit das Chrome Web Store-Team etwaigen Richtlinien-Vergehen nachgehen kann.

Download Bitdefender Total Security 2015: Testversion Download Avast! Free Antivirus 2016 Download Avira Free Antivirus 2015
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
AVG Ultimate 2022 im Preisvergleich
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!