Security-Anbieter macht Chrome unsicher

artikel_chromeOh, diese Ironie – eine Security-Firma macht das System unsicher, auf dem sie läuft. Wobei: hört man nicht zum ersten Mal. Dieses Mal der Schuldige? AVG mit der Chrome-Erweiterung AVG Web TuneUp. Tavis Ormandy von Googles Project Zero hat den Spaß entdeckt – und warf AVG dann auch direkt vor, die Sicherheit der Nutzer zu gefährden. Durch die Erweiterung kommen diverse JavaScript-APIs in den Browser, die nicht nur Sucheinstellungen, sondern auch die NTP (New Tab Page) ändern können. Der Installationsprozess sei kompliziert, zudem kann er den Malware-Check von Chrome umgehen.

Durch die von AVG eingesetzten APIs war es Tavis Ormandy möglich, AVG-Cookies eines Testnutzers abzugreifen, seine Surfverlauf und andere persönlichen Daten auszulesen. Laut diverser Statistiken nutzen bis zu 9 Millionen Chrome-Nutzer die Erweiterung, da sie bei der Installation von AVG reingedrückt wird. Tavis Ormandy meldete das Unvermögen von AVG am 15. Dezember, kurz danach wurde die Erweiterung von AVG gefixt.

new-chrome-logo

Dies aber nur mehr schlecht als recht, da hier nur Domains mit der Folge“avg.com“ auf eine vertrauenswürdige Liste genommen wurde. Problem dabei: https://www.avg.com.www.angreifer.com“ würde auch passen, sodass weiterhin eine Man in the middle-Attacke möglich wäre. Lange Rede, kurzer Sinn: AVG besserte mittlerweile nach, sodass die Erweiterung nun sauber sein sollte. Das Chrome Sicherheitsteam untersucht den Fall aber nun genauer, um etwaige Verstöße von AVG zu finden.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

3 Kommentare

  1. Immer wieder interessant diese Entdeckungen. Unter die Rubrik:
    „Wer kontrolliert die Kontrolleuere?“
    zu subsumieren.
    Auf ein Gutes Neues

  2. Es hat etwas gedauert, irgendwann habe ich jedoch kapiert, daß diese ganzen aufgeblasenen Securitypakete für den A**** sind. Hersteller ist da eigentlich egal.

  3. Bei AVG überrascht das kein Bisschen mehr…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.