"Müll": Google-Sicherheitsforscher zerlegt AVG-Chrome-Erweiterung

Chrome, Avg, Extension, Web TuneUp Bildquelle: AVG
AVG will als Antiviren-Anbieter das Web sicherer machen und den Computer des Nutzers schützen. So ist jedenfalls die Theorie bzw. der Optimalfall. Doch laut Tavis Ormandy, einem Sicherheitsforscher bei Googles Project Zero-Initiative, macht die Chrome-Erweiterung von AVG genau das Gegenteil, da sie von Schwachstellen regelrecht durchsiebt ist bzw. war.
Mehr als neun Millionen Chrome-Nutzer haben die Chrome-Erweiterung Web TuneUp installiert. Doch damit erreichen sie nicht ein Mehr an Sicherheit (durch das Blocken unsicherer Webseiten), sondern ziemlich genau das Gegenteil: Wie Tavis Ormandy von Google in einem Beitrag darlegt, füge die Extension zahlreiche JavaScript-APIs zu Chrome hinzu (via The Register).

Das war der Beginn einer regelrechten Tirade über das AVG-Tool: Denn laut Ormandy kapern die hinzugefügten APIs die Sucheinstellungen sowie die "Neuer Tab"-Seite. Der Installationsvorgang ist absichtlich kompliziert, sodass die Malware-Überprüfung von Chrome gezielt ausgehebelt werden kann. Das Problem dabei sei aber, dass "viele der APIs kaputt sind", so der Google-Mann.

Der angehängte Exploit stehle Cookies von der AVG-Seite, entblößt den Suchverlauf und andere persönliche Nutzerdaten. Laut Ormandy könnte das Tool vermutlich auch leicht für (Man-in-the-Middle-)Angriffe auf die jeweiligen Nutzerrechner ausgenutzt werden.

In einem weiteren Beitrag, in den er die von ihm an AVG geschickte Mail reinkopiert hat, wählt er noch härtere Wörter. Er entschuldigt sich zu Beginn für den "harschen Ton", bezeichnet die Extension aber als "Müll", von dem er alles andere als begeistert ist. Er ist sich nicht einmal sicher ob er das als Schwachstelle melden soll oder als PuP, also "potentially unwanted program", also Malware.

AVG hat eigenen Angaben nach die Lücken in mehreren Schritten gestopft, Ormandy bestätigt das mittlerweile auch vorsichtig. Inline-Installationen bleiben aber nach wie vor deaktiviert, damit das Chrome Web Store-Team etwaigen Richtlinien-Vergehen nachgehen kann.

Download
Bitdefender Total Security 2015: Testversion
Download
Avast! Free Antivirus 2016
Download
Avira Free Antivirus 2015
Chrome, Avg, Extension, Web TuneUp Chrome, Avg, Extension, Web TuneUp AVG
Diese Nachricht empfehlen
Kommentieren33
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr F-Secure Internet Security - 1 Jahr / 1 Computer
F-Secure Internet Security - 1 Jahr / 1 Computer
Original Amazon-Preis
22,99
Im Preisvergleich ab
22,99
Blitzangebot-Preis
18,48
Ersparnis zu Amazon 20% oder 4,51

AVG Aktienkurs in Euro

Apple Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden