Google Chrome: AVG macht Browser unsicher

Schwachstellen in der Chrome-Erweiterung Web TuneUp, die von AVG zwangsweise zusammen mit seiner Antiviren-Lösung installiert wurde, hat Tavis Ormandy von Google Project Zero entdeckt. Der Sicherheitsforscher warf dem Softwarehersteller vor, durch fehlerhaften Code die Sicherheit der Nutzer zu gefährden – bis hin zu möglichen Man-in-the-Middle-Attacken und vielleicht sogar Remotecodeausführung.

Sicherheitsforscher Tavis Ormandy von Google Project Zero schrieb in seinem Bug-Report: „Diese Erweiterung fügt Chrome zahlreiche JavaScript-APIs hinzu, offenbar damit sie Sucheinstellungen und die neue Tab-Seite entführen können“. Er bemängelte dazu einen reichlich komplizierten Installationprozess, der es AVG erlaube, die Malware-Überprüfungen im Chrome Store zu umgehen. Viele dieser APIs aber seien fehlerhaft, erlaubten den Diebstahl von Cookies, enthüllten den Surfverlauf und andere persönliche Daten über das Internet. Er sei darüber besorgt, dass die Sicherheitssoftware die Websicherheit von Millionen Chrome-Nutzern abschalte. Kaum überraschend fände er, wenn das für die willkürliche Ausführung von Code zu nutzen wäre.

Chrome-Erweiterung mit rund 9 Millionen Nutzern (Screenshot: ZDNet.de)schließen

Chrome-Erweiterung mit rund 9 Millionen Nutzern (Screenshot: ZDNet.de)schließen

Der Sicherheitsforscher schrieb gleich mehrere Exploit-Scripts, um seine Vorwürfe zu belegen, und drohte eine Veröffentlichung an, sollte nicht innerhalb von 90 Tagen ein breit verfügbarer Patch bereitstehen. Aus Googles Statistiken konnte er ersehen, dass die Erweiterung fast 9 Millionen aktive Chrome-Nutzer hatte. Diesen Anwendern gehe der Schutz durch SSL-Verschlüsselung verloren.

„Entschuldigen Sie meinen harschen Ton, aber ich bin wirklich nicht begeistert davon, dass dieser Müll bei Chrome-Nutzern installiert wird“, wandte sich Tavis Ormandy an AVG. „Diese Erweiterung ist so furchtbar kaputt, dass ich nicht sicher bin, ob ich es Ihnen als Schwachstelle berichten sollte oder das Extension-Abuse-Team um eine Überprüfung bitten sollte, ob es sich um ein PuP handelt.“ PuP steht für ein potentiell unerwünschtes Programm. Mit „Enttäuscht, Tavis“ schloss der wütende Sicherheitsforscher.

AVG reagierte daraufhin relativ schnell und reichte einen Fix ein. Diesen wies Google jedoch zurück, da er offensichtlich fehlerhaft sei und das ursprünglich beschriebene Problem nicht behebe. Einen weiteren Fix fand Ormandy schließlich mit Einschränkungen akzeptabel: „Ich denke, das ist das Beste, war wir wahrscheinlich bekommen werden.“

AVG Web TuneUp ist inzwischen ist als offenbar fehlerbereinigte Version 4.2.5.169 im Chrome Web Store verfügbar. Gesperrt bleibt jedoch noch die Berechtigung von AVG, Inline-Installationen seiner Software durchzuführen, während das Web-Store-Team mögliche Verletzungen von Googles Richtlinien untersucht.

Laut AVG schützt die Erweiterung Windows-PCs automatisch vor schädlichen oder attackierenden Webseiten und erhöht gleichzeitig die Leistung des Browsers. Die kostenlose Browser-Erweiterung ist funktional umfangreicher auch für Internet Explorer sowie Firefox verfügbar. „AVG Web TuneUp erlaubt es Nutzern, sich ihre Privatsphäre zurückzuholen, sodass sie Daten nur mit den Organisationen teilen, denen sie vertrauen“, erklärte zu seiner Einführung Andrew Reid, General Manager Platform bei AVG Technologies.

[Mit Material von Bernd Kling, ZDNet.de]

Neueste Kommentare 

Noch keine Kommentare zu Google Chrome: AVG macht Browser unsicher

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *