AVG Web TuneUp: Weit verbreitete Antiviren-Extension hat Chrome in ein offenes Scheunentor verwandelt

Veröffentlicht am 30. Dezember 2015 von Jens

Dass bestimmte Antiviren-Programme sich selbst viel zu wichtig nehmen und den Nutzer ständig bevormunden wollen ist bekannt, doch im Normalfall tun sie ihren Dienst und machen den Computer tatsächlich sicherer bzw. wenden potenzielle Gefahren ab. Doch bei AVG ist nun genau das Gegenteil eingetreten, denn tatsächlich hat die Software den Nutzer nicht ausreichend geschützt, sondern ihn sogar neuen Gefahren ausgesetzt. Eine gleichzeitig mit dem Tool installierte Chrome-Extension hat den Browser in ein offenes Scheunentor verwandelt.

Antiviren-Programme geben sich nicht mehr damit zufrieden, die Festplatte des Nutzers nach verdächtigen Apps oder Dateien zu scannen, sondern möchten auch den gesamten Alltag protokollieren und überwachen – und dazu gehört natürlich auch der Browser. Die beliebte Software AVG installiert bei jedem Nutzer automatisch eine Chrome-Extension, die laut den Statistiken aus dem Chrome Web Store über 9 Millionen Nutzer hat. Die Installation wird dabei in mehreren Schritten durchgeführt und umgeht durch diverse Techniken die Kontrollen des Browsers.

Um den Nutzer zu schützen, muss natürlich dessen Surf-Session protokolliert und überwacht werden – und genau das ist eigentlich die Aufgabe der Extension. Doch um dies zu bewerkstelligen werden im Browser einige neue JavaScript-APIs installiert, die den Browser eher zu einem offenen Scheunentor als zu einer Festung machen. So war es problemlos möglich, auf die Sucheinstellungen zuzugreifen, dabei auch die Standard-Suchmaschine einfach zu ändern und sogar die Neue Tab-Seite gegen eine beliebige andere Seite auszutauschen. All dies lässt sich durch ein einfaches Kapern der Extension bewerkstelligen.

Entdeckt wurden diese schwerwiegenden Lücken von einem Google-Entwickler, der anschließend eine regelrechte Hasstirade gegen die Extension gestartet hat. Viele dieser APIs seien einfach nur „kaputt“ und würden den Browser zu einem Einfallstor machen, statt den Nutzer zu schützen. Um diese Entdeckungen zu beweisen, hat er ein einfaches Skript veröffentlicht, dass viele der betroffenen Daten ausliest. Mit wenigen Zeilen Code können Cookies ausgelesen, der Suchverlauf angezeigt und einige persönliche Daten und Einstellungen aufgerufen und auch abgerufen werden.

AVG hat, nachdem das Posting bereits seit zwei Wochen Online war, reagiert und hat viele der Schwachstellen geschlossen. Dies wurde auch vom Google-Entwickler bestätigt, der allerdings noch immer nicht wirklich glücklich über dieses Tool ist, da es zu sehr in den Browser eingreift und diesen potenziell gefährdet. In dem Thread hat er auch die komplette Mail veröffentlicht, die er an das AVG-Team geschrieben hat, inklusive einiger Schimpfiraden, in denen die Extension als „Müll“ bezeichnet wird.

Da die Extension eine solch große Nutzerbasis hat, ist es natürlich nur positiv zu werten, dass diese endlich aufgedeckt worden und nun zu großen Teilen gestopft worden sind.

» Die Extension im Chrome Web Store
» Thread bei Google Code

[WinFuture]

Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter