In een Chrome-extensie van het Tsjechische anti-virusbedrijf AVG, die op bijna 9 miljoen computers is geïnstalleerd, heeft een onderzoeker van Google kritieke kwetsbaarheden ontdekt. Het gaat om de AVG Web TuneUp-extensie, die gebruikers juist tegen allerlei online dreigingen moet beschermen.
Volgens Google-onderzoeker Tavis Ormandy voegt de extensie allerlei API's (programmeerinterfaces) toe om de zoekinstellingen en nieuwe tabpagina te 'kapen'. Ook is de installatie 'vrij complex' waarmee AVG de malwarecontrole van Chrome probeert te omzeilen, aldus de onderzoeker. Veel van de API's die AVG installeert bevatten fouten en maken het mogelijk voor aanvallers om cookies en de surfgeschiedenis van gebruikers te stelen, maar ook het lezen van e-mails is mogelijk. Verder sluit Ormandy niet uit dat het via de extensie mogelijk is om willekeurige code op de computer uit te voeren.
Ormandy ontdekte de kwetsbaarheden als onderdeel van Google Project Zero. Dit is een team van hackers die naar beveiligingslekken in populaire software zoeken. In het geval van ontdekte kwetsbaarheden krijgt de betreffende ontwikkelaar of fabrikant 90 dagen de tijd om de problemen te verhelpen, anders maakt Google de problemen bekend. Op 15 december waarschuwde Ormandy AVG via een e-mail over de problemen, waarbij hij de software met "rotzooi" vergeleek. "De extensie is zo slecht gemaakt dat ik niet weet of ik het als een kwetsbaarheid moet melden of het abuseteam van Google moet vragen of het om potentieel ongewenste software gaat." Vier dagen later kwam AVG met een update, maar die bleek het probleem niet te verhelpen.
Uiteindelijk verscheen op 21 december een oplossing die volgens Ormandy acceptabel was, hoewel er nog steeds aanvalsvectoren aanwezig zijn. De oplossing is inmiddels doorgevoerd in versie 4.2.5.169 van de extensie. Daarmee zijn de problemen nog niet voorbij. Tavis laat namelijk vandaag in de bugmelding weten dat het Chrome Web Store-team een onderzoek is gestart of de extensie de regels niet overtreedt.
Deze posting is gelocked. Reageren is niet meer mogelijk.