AVG-Erweiterung macht Chrome unsicher

Hay-Tun am Mittwoch 30. Dezember 2015 16:37:17

AVG-Erweiterung macht Chrome unsicher

Die AVG-Erweiterung „Web TuneUp“ sollte Anwender im Internet schützen. Stattdessen tut sie das Gegenteil.

Tavis Ormandy von Google Project Zero hat Lücken in der Google Chrome-Erweiterung Web TuneUp entdeckt, die von der IT-Sicherheitsfirma AVG zusammen mit seiner Antiviren-Software installiert wurde. Der Sicherheitsforscher warf dem niederländischen Softwarehersteller vor, durch fehlerhaften Code die Sicherheit von Chrome-Nutzern zu gefährden. Sogar Man-in-the-Middle-Attacken und Remotecodeausführung seien möglich.

„Diese Erweiterung fügt Chrome zahlreiche JavaScript-APIs hinzu, die offenbar Sucheinstellungen und die neue Tab-Seite entführen können“, erklärt Ormandy in einem Bug-Report. Er bemängelte zudem einen komplizierten Installationsvorgang, der es AVG erlaube, die Malware-Kontrollen im Chrome Store zu umgehen.

Einige dieser APIs aber seien fehlerhaft und erlaubten den Diebstahl von Cookies sowie das Ausspionieren der Privatsphäre der Nutzer. Ormandy sei darüber besorgt, dass Web TuneUp die Websicherheit von Millionen Chrome-Nutzern beeinträchtige.

Um seine Befürchtungen zu belegen, schrieb der Sicherheitsforscher gleich mehrere Exploit-Scripts und drohte eine Veröffentlichung an, sollte AVG nicht innerhalb von 90 Tagen einen Patch veröffentlichen. Aus Googles Statistiken konnte er ersehen, dass fast neun Millionen Chrome-Nutzer besagte Erweiterung nutzen.

AVG reagierte daraufhin schnell und veröffentlichte einen Fix. Diesen wies Google allerdings zurück, da er angeblich fehlerhaft sei und die ursprünglichen Sicherheitslücken nicht dicht mache. Einen zweiten Fix fand Ormandy schließlich mit Einschränkungen befriedigend.

AVG Web TuneUp steht nun als fehlerfreie Erweiterung (Version 4.2.5.169) im Chrome Web Store zur Verfügung. Das Web-Store-Team untersucht mittlerweile mögliche Verletzungen von Googles Richtlinien seitens AVG.

Foto: © Chrome Web Store.




Kommentar hinzufügen

Kommentare

Kommentar hinzufügen