Abo
  • IT-Karriere:

Chrome: Google-Entwickler zerpflückt Antiviren-Addon

Eine Chrome-Erweiterung des Antiviren-Herstellers AVG habe so viele Sicherheitslücken gehabt, dass es auch Malware hätte sein können, schreibt ein Google-Entwickler. Die Fehler sind zwar behoben, das Addon könnte aber trotzdem aus dem Chrome-Store verbannt werden.

Artikel veröffentlicht am ,
Die Erweiterung von AVG steht noch im Chrome Webstore bereit.
Die Erweiterung von AVG steht noch im Chrome Webstore bereit. (Bild: AVG)

Gemeinsam mit dem Antiviren-Programm von AVG ist Nutzern ungefragt auch die Chrome-Erweiterung Web Tuneup installiert worden. Laut Tavis Ormandy, der in Googles Project Zero nach Sicherheitslücken sucht, erweiterte dieses Addon aber die Javascript-APIs von Chrome, übernahm die Sucheingaben und umging die Malware-Checks des Browsers. Diesen Code konnte Ormandy dazu ausnutzen, um persönlichen Daten von Nutzern des Addons auszulesen.

Stellenmarkt
  1. operational services GmbH & Co. KG, München
  2. Stadtwerke München GmbH, München

Der Sicherheitsexperte geht sogar so weit zu vermuten, dass über diese Lücken auch beliebiger Code hätte ausgeführt werden können. In einer E-Mail an den Hersteller, die in dem dazugehörigen Bug-Report einsehbar ist, schreibt Ormandy, das Addon sei so sehr kaputt, dass er sich nicht sicher sei, ob es sich tatsächlich nur um eine Sicherheitslücke handele oder ob er die Erweiterung dem Missbrauchsteam von Google melden sollte - da es sich um Malware handeln könnte.

Eine von AVG zunächst bereitgestellte Lösung für die schwerwiegenden Probleme wies Ormandy darüber hinaus mit der Begründung zurück, dass das Addon weiterhin Man-in-the-Middle-Angriffe erlaube, um den Aufbau einer verschlüsselten Verbindung zu umgehen und Code über eine eigene Seite einzuschleusen. Außerdem sei die Erweiterung anfällig für Cross-Site-Scripting-Angriffe (XSS) über die Webseite von AVG.

Die aktuell verfügbare Version der Erweiterung sei von den beschriebenen Problemen nicht mehr betroffen und ist wohl deshalb weiterhin über den Chrome Webstore erhältlich. Die gemeinsame Installation der Erweiterung mit der Antiviren-Software wird zurzeit aber von Google unterbunden. Zudem prüft das zuständige Team mögliche Verletzungen der Richtlinien für Erweiterungen, die über den Webstore vertrieben werden. Schlimmstenfalls wird das Addon verbannt.



Anzeige
Top-Angebote
  1. (u. a. Call of Duty: Modern Warfare für 52,99€, Pillars of Eternity II für 16,99€, Devil May...
  2. 699,00€ (Bestpreis!)
  3. (u. a. Aorus Pro für 219,90€, Aorus Pro WiFi für 229,90€, Aorus Elite für 189,90€)
  4. (u. a. Sandisk SSD Plus 1 TB für 88,00€, WD Elements 1,5-TB-HDD für 55,00€, Seagate Expansion...

HubertHans 04. Jan 2016

Ja, komplett unnoetig, da nicht funktional.

yege 31. Dez 2015

@SoniX Und das halt mit voller Absicht. Es betrifft ja nicht nur Kaspersky...

BenjaminWagner 30. Dez 2015

Absoluter Programmierschrott, der nur Schaden anrichtet und gefühlt von 99% aller in den...


Folgen Sie uns
       


Golem.de hackt Wi-Fi-Kameras per Deauth

WLAN-Überwachungskameras lassen sich ganz einfach ausknipsen - Golem.de zeigt, wie.

Golem.de hackt Wi-Fi-Kameras per Deauth Video aufrufen
Vision 5 und Epos 2 im Hands on: Tolinos neue E-Book-Reader-Oberklasse ist gelungen
Vision 5 und Epos 2 im Hands on
Tolinos neue E-Book-Reader-Oberklasse ist gelungen

Die Tolino-Allianz bringt zwei neue E-Book-Reader der Oberklasse auf den Markt. Der Vision 5 hat ein 7 Zoll großes Display, beim besonders dünnen Epos 2 ist es ein 8-Zoll-Display. Es gibt typische Oberklasse-Ausstattung - und noch etwas mehr.
Ein Hands on von Ingo Pakalski

  1. Tolino Page 2 Günstiger E-Book-Reader erhält Displaybeleuchtung

Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  2. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
  3. Google Fotos Pixel 4 kommt ohne unbegrenzten unkomprimierten Fotospeicher

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /