Wer kennt sie nicht. Toolbars oder Add-ons, welche sich bei der Installation von Software mit einschleichen. „AVG Web TuneUp“ ist so ein Kandidat. Die Erweiterung soll uns eigentlich bei der Reise durch die Weiten des Internets schützen, stellt selbst aber ein großes Sicherheitsrisiko dar.
Tavis Ormandy, Mitarbeiter von Google Security Research, bezeichnet die Chrome-Erweiterung „AVG Web TuneUp“ in einem offenen Brief als Müll, da sie ein enormes Sicherheitsrisiko für die Nutzer darstellt. Das Add-on installiert sich meistens automatisch zusammen mit der Security-Suite von AVG. Der Knackpunkt liegt bei den fehlerhaften JavaScript-Schnittstellen. Diese ermöglichen es Angreifern beispielsweise die Sucheinstellungen oder die „Neue-Tab“-Seite zu manipulieren. Auch die interne Malware-Prüfung von Chrome wird durch den Installationsprozess umgangen.
Entschuldigen Sie meinen harschen Ton, aber ich bin wirklich nicht begeistert davon, dass dieser Müll bei Chrome-Nutzer installiert wird.
Außerdem drohte er AVG mit der Veröffentlichung mehrerer Exploit-Scripts, wenn die Probleme nicht innerhalb von 90 Tagen mit einem Patch behoben werden. Aus Googles Statisiken geht hervor, dass über 9 Millionen Chrome-Nutzer die Erweiterung installiert haben. „AVG Web TuneUp“ gibt es übrigens auch für Firefox und den Internet Explorer.
AVG reagierte relativ schnell mit einem ersten Fix, der von Google abgelehnt wurde, da das beschriebene Problem nicht behoben wurde. Einen weiteren Fix befand Ormandy dann für akzeptabel, fügte aber hinzu: „Ich denke, das ist das Beste, was wir wahrscheinlich bekommen werden.“
Was sagt ihr zu einem vermeintlich schützendem Add-on, welches komplett offen gegenüber Angreifern ist? Gibt es unter unseren Lesern Nutzer dieses Add-ons?
