Peinliche Panne: „Sicherheitsspezialist“ AVG gefährdet 9 Millionen Nutzer

AVG Web TuneUp   Chrome Web Store

„Entschuldigen Sie meinen harschen Ton, aber ich bin wirklich nicht begeistert davon, dass dieser Müll bei Chrome-Nutzern installiert wird“, beginnt Tavis Ormandy von Google Project Zero. Er behauptet, dass AVG fehlerhaften Code in die knapp 9 Millionen Mal runter geladene Chrome-Extension AVG Web TuneUp verwendet. Dadurch sollen Man-in-the-Middle-Attacken und vielleicht sogar Remote-Code-Ausführung möglich sein.

In seinem Bug-Report schreibt Travis, dass die Erweiterung dem Chrome-Browser zahlreiche JavaScript-APIs hinzufügt, mit denen sowohl Sucheinstellungen, als auch neue Tab-Seiten entführt werden können.

Auch soll der Installationsprozess unnötig kompliziert sein und es AVG erlauben, die Malware-Überprüfung im Chrome Store zu umgehen. Viele der neuen APIs seien fehlerhaft. Damit ließen sich Cookies stehlen und den Surfverlauf enthüllen. Deswegen sorgt sich Travis, dass die AVG Sicherheitssoftware TuneIn die Sicherheit von Millionen Nutzern deutlich herabsetze. Kaum überraschend fände er, wenn das für die willkürliche Ausführung von Code zu nutzen wäre.

Um seine Vorwürfe zu belegen, schrieb der Sicherheitsforscher gleich mehrere Exploit-Scripts und drohte eine Veröffentlichung an, sollte nicht innerhalb von 90 Tagen ein breit verfügbarer Patch bereitstehen. Aus Googles Statistiken konnte er ersehen, dass die Erweiterung fast 9 Millionen aktive Chrome-Nutzer hatte. Diesen Anwendern gehe der Schutz durch SSL-Verschlüsselung verloren.

Lies auch:  GOOGLE-SICHERHEITSCHEF ERWARTET VIEL MEHR HACKERANGRIFFE

„Entschuldigen Sie meinen harschen Ton, aber ich bin wirklich nicht begeistert davon, dass dieser Müll bei Chrome-Nutzern installiert wird“, wandte sich Tavis Ormandy an AVG. „Diese Erweiterung ist so furchtbar kaputt, dass ich nicht sicher bin, ob ich es Ihnen als Schwachstelle berichten sollte oder das Extension-Abuse-Team um eine Überprüfung bitten sollte, ob es sich um ein PuP handelt.“ PuP steht für ein potentiell unerwünschtes Programm. Mit „Enttäuscht, Tavis“ schloss der wütende Sicherheitsforscher.

AVG reagierte daraufhin relativ schnell und reichte einen Fix ein. Diesen wies Google jedoch zurück, da er offensichtlich fehlerhaft sei und das ursprünglich beschriebene Problem nicht behebe. Einen weiteren Fix fand Ormandy schließlich mit Einschränkungen akzeptabel: „Ich denke, das ist das Beste, war wir wahrscheinlich bekommen werden.“

Lies auch: KASPERSKY – DETAILS ZU DEN SICHERHEITSLÜCKEN DER ANTIVIRENSOFTWARE ENTHÜLLT

Inzwischen ist AVG Web TuneUp als offenbar fehlerbereinigte Version 4.2.5.169 im Chrome Web Store verfügbar. Gesperrt bleibt jedoch noch die Berechtigung von AVG, Inline-Installationen seiner Software durchzuführen, während das Web-Store-Team mögliche Verletzungen von Googles Richtlinien untersucht.

Laut AVG schützt die Erweiterung Windows-PCs automatisch vor schädlichen oder attackierenden Webseiten und erhöht gleichzeitig die Leistung des Browsers. Die kostenlose Browser-Erweiterung ist funktional umfangreicher auch für Internet Explorer sowie Firefox verfügbar. „AVG Web TuneUp erlaubt es Nutzern, sich ihre Privatsphäre zurückzuholen, sodass sie Daten nur mit den Organisationen teilen, denen sie vertrauen“, erklärte zu seiner Einführung Andrew Reid, General Manager Platform bei AVG Technologies.

Tags :Via:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising