AVG macht Chrome unsicher

Tavis Ormandy von Google Project Zero hat Schwachstellen in der Chrome-Erweiterung Web TuneUp entdeckt, die von AVG zwangsweise zusammen mit seiner Antiviren-Lösung installiert wurde. Der Sicherheitsforscher warf dem Softwarehersteller vor, durch fehlerhaften Code die Sicherheit der Nutzer zu gefährden – bis hin zu möglichen Man-in-the-Middle-Attacken und vielleicht sogar Remotecodeausführung.

„Diese Erweiterung fügt Chrome zahlreiche JavaScript-APIs hinzu, offenbar damit sie Sucheinstellungen und die neue Tab-Seite entführen können“, schrieb Ormandy in seinem Bug-Report. Er bemängelte dazu einen reichlich komplizierten Installationprozess, der es AVG erlaube, die Malware-Überprüfungen im Chrome Store zu umgehen. Viele dieser APIs aber seien fehlerhaft, erlaubten den Diebstahl von Cookies, enthüllten den Surfverlauf und andere persönliche Daten über das Internet. Er sei darüber besorgt, dass die Sicherheitssoftware die Websicherheit von Millionen Chrome-Nutzern abschalte. Kaum überraschend fände er, wenn das für die willkürliche Ausführung von Code zu nutzen wäre.

Chrome-Erweiterung mit rund 9 Millionen Nutzern (Screenshot: ZDNet.de)

Um seine Vorwürfe zu belegen, schrieb der Sicherheitsforscher gleich mehrere Exploit-Scripts und drohte eine Veröffentlichung an, sollte nicht innerhalb von 90 Tagen ein breit verfügbarer Patch bereitstehen. Aus Googles Statistiken konnte er ersehen, dass die Erweiterung fast 9 Millionen aktive Chrome-Nutzer hatte. Diesen Anwendern gehe der Schutz durch SSL-Verschlüsselung verloren.

„Entschuldigen Sie meinen harschen Ton, aber ich bin wirklich nicht begeistert davon, dass dieser Müll bei Chrome-Nutzern installiert wird“, wandte sich Tavis Ormandy an AVG. „Diese Erweiterung ist so furchtbar kaputt, dass ich nicht sicher bin, ob ich es Ihnen als Schwachstelle berichten sollte oder das Extension-Abuse-Team um eine Überprüfung bitten sollte, ob es sich um ein PuP handelt.“ PuP steht für ein potentiell unerwünschtes Programm. Mit „Enttäuscht, Tavis“ schloss der wütende Sicherheitsforscher.

AVG reagierte daraufhin relativ schnell und reichte einen Fix ein. Diesen wies Google jedoch zurück, da er offensichtlich fehlerhaft sei und das ursprünglich beschriebene Problem nicht behebe. Einen weiteren Fix fand Ormandy schließlich mit Einschränkungen akzeptabel: „Ich denke, das ist das Beste, war wir wahrscheinlich bekommen werden.“

Inzwischen ist AVG Web TuneUp als offenbar fehlerbereinigte Version 4.2.5.169 im Chrome Web Store verfügbar. Gesperrt bleibt jedoch noch die Berechtigung von AVG, Inline-Installationen seiner Software durchzuführen, während das Web-Store-Team mögliche Verletzungen von Googles Richtlinien untersucht.

Laut AVG schützt die Erweiterung Windows-PCs automatisch vor schädlichen oder attackierenden Webseiten und erhöht gleichzeitig die Leistung des Browsers. Die kostenlose Browser-Erweiterung ist funktional umfangreicher auch für Internet Explorer sowie Firefox verfügbar. „AVG Web TuneUp erlaubt es Nutzern, sich ihre Privatsphäre zurückzuholen, sodass sie Daten nur mit den Organisationen teilen, denen sie vertrauen“, erklärte zu seiner Einführung Andrew Reid, General Manager Platform bei AVG Technologies.