Abo
  • Services:
Anzeige
Die Erweiterung von AVG steht noch im Chrome Webstore bereit.
Die Erweiterung von AVG steht noch im Chrome Webstore bereit. (Bild: AVG)

Chrome: Google-Entwickler zerpflückt Antiviren-Addon

Die Erweiterung von AVG steht noch im Chrome Webstore bereit.
Die Erweiterung von AVG steht noch im Chrome Webstore bereit. (Bild: AVG)

Eine Chrome-Erweiterung des Antiviren-Herstellers AVG habe so viele Sicherheitslücken gehabt, dass es auch Malware hätte sein können, schreibt ein Google-Entwickler. Die Fehler sind zwar behoben, das Addon könnte aber trotzdem aus dem Chrome-Store verbannt werden.

Gemeinsam mit dem Antiviren-Programm von AVG ist Nutzern ungefragt auch die Chrome-Erweiterung Web Tuneup installiert worden. Laut Tavis Ormandy, der in Googles Project Zero nach Sicherheitslücken sucht, erweiterte dieses Addon aber die Javascript-APIs von Chrome, übernahm die Sucheingaben und umging die Malware-Checks des Browsers. Diesen Code konnte Ormandy dazu ausnutzen, um persönlichen Daten von Nutzern des Addons auszulesen.

Anzeige

Der Sicherheitsexperte geht sogar so weit zu vermuten, dass über diese Lücken auch beliebiger Code hätte ausgeführt werden können. In einer E-Mail an den Hersteller, die in dem dazugehörigen Bug-Report einsehbar ist, schreibt Ormandy, das Addon sei so sehr kaputt, dass er sich nicht sicher sei, ob es sich tatsächlich nur um eine Sicherheitslücke handele oder ob er die Erweiterung dem Missbrauchsteam von Google melden sollte - da es sich um Malware handeln könnte.

Eine von AVG zunächst bereitgestellte Lösung für die schwerwiegenden Probleme wies Ormandy darüber hinaus mit der Begründung zurück, dass das Addon weiterhin Man-in-the-Middle-Angriffe erlaube, um den Aufbau einer verschlüsselten Verbindung zu umgehen und Code über eine eigene Seite einzuschleusen. Außerdem sei die Erweiterung anfällig für Cross-Site-Scripting-Angriffe (XSS) über die Webseite von AVG.

Die aktuell verfügbare Version der Erweiterung sei von den beschriebenen Problemen nicht mehr betroffen und ist wohl deshalb weiterhin über den Chrome Webstore erhältlich. Die gemeinsame Installation der Erweiterung mit der Antiviren-Software wird zurzeit aber von Google unterbunden. Zudem prüft das zuständige Team mögliche Verletzungen der Richtlinien für Erweiterungen, die über den Webstore vertrieben werden. Schlimmstenfalls wird das Addon verbannt.


eye home zur Startseite
HubertHans 04. Jan 2016

Ja, komplett unnoetig, da nicht funktional.

yege 31. Dez 2015

@SoniX Und das halt mit voller Absicht. Es betrifft ja nicht nur Kaspersky...

BenjaminWagner 30. Dez 2015

Absoluter Programmierschrott, der nur Schaden anrichtet und gefühlt von 99% aller in den...



Anzeige

Stellenmarkt
  1. GALERIA Kaufhof GmbH, Köln
  2. Experis GmbH, Berlin
  3. LEDVANCE GmbH, Garching bei München
  4. MedAdvisors GmbH über Academic Work Germany GmbH, Hamburg


Anzeige
Top-Angebote
  1. 89,90€ (Vergleichspreis ab 129,84€)
  2. (u. a. Playstation 4 + Spiel + 2 Controller 269,00€, iRobot Roomba 980 nur 777€)

Folgen Sie uns
       


  1. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  2. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  3. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  4. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  5. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  6. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern

  7. CPU-Architektur

    RISC-V-Patches für Linux erstmals eingereicht

  8. FSP Hydro PTM+

    Wassergekühltes PC-Netzteil liefert 1.400 Watt

  9. Matebook X und E im Hands on

    Huawei kann auch Notebooks

  10. Celsius-Workstations

    Fujitsu bringt sichere Notebooks und kabellose Desktops



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. Re: Unix, das Betriebssystem von Entwicklern, für...

    ML82 | 07:06

  2. Re: Marketing scheint bei Unity ein besonders...

    Hakuro | 06:57

  3. Re: Warum überhaupt VLC nutzen

    ML82 | 06:55

  4. Der W 570 ist leider nicht so kabellos wie der...

    MarioWario | 06:44

  5. Re: Akito Thunder 2 + Macbook

    Dan Koes | 05:56


  1. 18:58

  2. 18:20

  3. 17:59

  4. 17:44

  5. 17:20

  6. 16:59

  7. 16:30

  8. 15:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel