30.12.2015
Security-Experte schlampt
AVG-Add-on gefährdet 9 Millionen Chrome-Nutzer
Autor: Stefan Bordel
JMiks / shutterstock.com
Die Chrome-Erweiterung "AVG Web TuneUp" soll Nutzer eigentlich vor dem Besuch schädlicher Webseiten bewahren. Leider ist das Add-on selbst löchrig wie ein Schweizer Käse ...
Chrome-Erweiterung "AVG Web TuneUp" will Nutzer vor schädlichen Inhalten im Netz bewahren, allerdings ist das Add-on derart liederlich programmiert, dass es selbst ein großes Sicherheitsrisiko darstellt. Die Erweiterung wurde laut dem Sicherheitsforscher Tavis Ormandy von Google Security Research zumeist automatisch mit der Security-Suite von AVG installiert und verwende zahlreiche fehlerhafte JavaScript-Schnittstellen (API). Wie aus den Statistiken des Google-Webstores hervorgeht, sollen 9 Millionen Nutzer das Add-on installiert haben.
Gefährliche Beigabe: Die Über die fehlerhaften APIs sollen Angreifer beispielsweise in der Lage sein, die Sucheinstellungen oder die Neue-Tab-Seite zu manipulieren. Darüber hinaus werde über den komplizierten Installationsprozess der in Chrome integrierte Malware-Test umgangen. Dem Sicherheitsforscher gelang es außerdem, über die verschiedenen Sicherheitslücken an den Browser-Verlauf und andere persönliche Daten zu gelangen.
"Die Erweiterung ist derart fehlerhaft, dass ich mir nicht sicher bin, ob ich sie entweder als Sicherheitslücke melden, oder vom Extension-Abuse-Team als PuP (Potentially Unwanted Program) untersuchen lassen soll", schreibt Ormandy in einer Mail an den Hersteller.
Mittlerweile hat AVG die Erweiterung auf Version 4.2.5.169 gepatcht, in der die Probleme beseitigt sind. Die automatische Installation wurde ebenfalls entfernt.
Allem Anschein nach nehmen es gerade die Sicherheitshersteller oft nicht so genau mit der Sicherheit ihrer eigenen Produkte. Eine Untersuchung von AV-Test zeigte erst Ende Oktober, dass viele Hersteller etwa mit unsignierten PE-Dateien arbeiten.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>