Security-Anbieter macht Chrome unsicher
Oh, diese Ironie – eine Security-Firma macht das System unsicher, auf dem sie läuft. Wobei: hört man nicht zum ersten Mal. Dieses Mal der Schuldige? AVG mit der Chrome-Erweiterung AVG Web TuneUp. Tavis Ormandy von Googles Project Zero hat den Spaß entdeckt – und warf AVG dann auch direkt vor, die Sicherheit der Nutzer zu gefährden. Durch die Erweiterung kommen diverse JavaScript-APIs in den Browser, die nicht nur Sucheinstellungen, sondern auch die NTP (New Tab Page) ändern können. Der Installationsprozess sei kompliziert, zudem kann er den Malware-Check von Chrome umgehen.
Durch die von AVG eingesetzten APIs war es Tavis Ormandy möglich, AVG-Cookies eines Testnutzers abzugreifen, seine Surfverlauf und andere persönlichen Daten auszulesen. Laut diverser Statistiken nutzen bis zu 9 Millionen Chrome-Nutzer die Erweiterung, da sie bei der Installation von AVG reingedrückt wird. Tavis Ormandy meldete das Unvermögen von AVG am 15. Dezember, kurz danach wurde die Erweiterung von AVG gefixt.
Dies aber nur mehr schlecht als recht, da hier nur Domains mit der Folge“avg.com“ auf eine vertrauenswürdige Liste genommen wurde. Problem dabei: https://www.avg.com.www.angreifer.com“ würde auch passen, sodass weiterhin eine Man in the middle-Attacke möglich wäre. Lange Rede, kurzer Sinn: AVG besserte mittlerweile nach, sodass die Erweiterung nun sauber sein sollte. Das Chrome Sicherheitsteam untersucht den Fall aber nun genauer, um etwaige Verstöße von AVG zu finden.
Immer wieder interessant diese Entdeckungen. Unter die Rubrik:
„Wer kontrolliert die Kontrolleuere?“
zu subsumieren.
Auf ein Gutes Neues
Es hat etwas gedauert, irgendwann habe ich jedoch kapiert, daß diese ganzen aufgeblasenen Securitypakete für den A**** sind. Hersteller ist da eigentlich egal.
Bei AVG überrascht das kein Bisschen mehr…