Chrome: Google-Entwickler zerpflückt Antiviren-Addon

Eine Chrome-Erweiterung des Antiviren-Herstellers AVG habe so viele Sicherheitslücken gehabt, dass es auch Malware hätte sein können, schreibt ein Google-Entwickler. Die Fehler sind zwar behoben, das Addon könnte aber trotzdem aus dem Chrome-Store verbannt werden.

Artikel veröffentlicht am ,
Die Erweiterung von AVG steht noch im Chrome Webstore bereit.
Die Erweiterung von AVG steht noch im Chrome Webstore bereit. (Bild: AVG)

Gemeinsam mit dem Antiviren-Programm von AVG ist Nutzern ungefragt auch die Chrome-Erweiterung Web Tuneup installiert worden. Laut Tavis Ormandy, der in Googles Project Zero nach Sicherheitslücken sucht, erweiterte dieses Addon aber die Javascript-APIs von Chrome, übernahm die Sucheingaben und umging die Malware-Checks des Browsers. Diesen Code konnte Ormandy dazu ausnutzen, um persönlichen Daten von Nutzern des Addons auszulesen.

Stellenmarkt
  1. Sachbearbeiter Datenmanagement Netz (m/w/d)
    WEMAG Netz GmbH, Schwerin
  2. Fachinformatiker Systemintegration/IT-Systema- dministrator (m/w/d)
    Verbandsgemeinde Jockgrim, Jockgrim
Detailsuche

Der Sicherheitsexperte geht sogar so weit zu vermuten, dass über diese Lücken auch beliebiger Code hätte ausgeführt werden können. In einer E-Mail an den Hersteller, die in dem dazugehörigen Bug-Report einsehbar ist, schreibt Ormandy, das Addon sei so sehr kaputt, dass er sich nicht sicher sei, ob es sich tatsächlich nur um eine Sicherheitslücke handele oder ob er die Erweiterung dem Missbrauchsteam von Google melden sollte - da es sich um Malware handeln könnte.

Eine von AVG zunächst bereitgestellte Lösung für die schwerwiegenden Probleme wies Ormandy darüber hinaus mit der Begründung zurück, dass das Addon weiterhin Man-in-the-Middle-Angriffe erlaube, um den Aufbau einer verschlüsselten Verbindung zu umgehen und Code über eine eigene Seite einzuschleusen. Außerdem sei die Erweiterung anfällig für Cross-Site-Scripting-Angriffe (XSS) über die Webseite von AVG.

Die aktuell verfügbare Version der Erweiterung sei von den beschriebenen Problemen nicht mehr betroffen und ist wohl deshalb weiterhin über den Chrome Webstore erhältlich. Die gemeinsame Installation der Erweiterung mit der Antiviren-Software wird zurzeit aber von Google unterbunden. Zudem prüft das zuständige Team mögliche Verletzungen der Richtlinien für Erweiterungen, die über den Webstore vertrieben werden. Schlimmstenfalls wird das Addon verbannt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Gesetz tritt in Kraft
Die Uploadfilter sind da

Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
Ein Bericht von Friedhelm Greis

Gesetz tritt in Kraft: Die Uploadfilter sind da
Artikel
  1. DSGVO: Amazon bekommt 746 Millionen Euro Datenschutz-Strafe
    DSGVO
    Amazon bekommt 746 Millionen Euro Datenschutz-Strafe

    Die Strafe gegen Amazon ist die wohl größte jemals von einer europäischen Datenschutzbehörde verhängte Summe. Die Kläger freuen sich.

  2. Blue Origin: Bezos-Beschwerde zu Mondlandefähre abgelehnt
    Blue Origin
    Bezos-Beschwerde zu Mondlandefähre abgelehnt

    Damit Blue Origin doch noch den Auftrag für eine Mondlandefähre bekommt, hat Jeff Bezos Geld geboten und sich offiziell beschwert. Es half nichts.

  3. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

HubertHans 04. Jan 2016

Ja, komplett unnoetig, da nicht funktional.

yege 31. Dez 2015

@SoniX Und das halt mit voller Absicht. Es betrifft ja nicht nur Kaspersky...

BenjaminWagner 30. Dez 2015

Absoluter Programmierschrott, der nur Schaden anrichtet und gefühlt von 99% aller in den...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /