avg-logo

AVG will als Antiviren-Anbieter das Web sicherer machen und den Computer des Nutzers schützen. So ist jedenfalls die Theorie bzw. der Optimalfall. Doch laut Tavis Ormandy, einem Sicherheitsforscher bei Googles Project Zero-Initiative, macht die Chrome-Erweiterung von AVG genau das Gegenteil.

Mehr als neun Millionen Chrome-Nutzer haben die Chrome-Erweiterung Web TuneUp installiert. Doch damit erreichen sie nicht ein Mehr an Sicherheit sondern ziemlich genau das Gegenteil: Wie Tavis Ormandy von Google in einem Beitrag darlegt, füge die Extension zahlreiche JavaScript-APIs zu Chrome hinzu.

Das war der Beginn einer regelrechten Tirade über das AVG-Tool: Denn laut Ormandy kapern die hinzugefügten APIs die Sucheinstellungen sowie die „Neuer Tab“-Seite. Der Installationsvorgang ist absichtlich kompliziert, sodass die Malware-Überprüfung von Chrome gezielt ausgehebelt werden kann.

Der angehängte Exploit stehle Cookies von der AVG-Seite, entblösst den Suchverlauf und andere persönliche Nutzerdaten. Laut Ormandy könnte das Tool vermutlich auch leicht für (Man-in-the-Middle-)Angriffe auf die jeweiligen Nutzerrechner ausgenutzt werden.

In einem weiteren Beitrag, in den er die von ihm an AVG geschickte Mail reinkopiert hat, wählt er noch härtere Wörter. Er entschuldigt sich zu Beginn für den „harschen Ton“, bezeichnet die Extension aber als „Müll“, von dem er alles andere als begeistert ist.

AVG hat eigenen Angaben nach die Lücken in mehreren Schritten gestopft, Ormandy bestätigt das mittlerweile auch vorsichtig. Inline-Installationen bleiben aber nach wie vor deaktiviert.

Categories: Hauptseite