Wieder AVG: Sicherheits-Software lässt Firefox Passwörter vergessen

Wieder einmal fällt die Sicherheitssoftware AVG dadurch auf, dass sie schwerwiegende Probleme für Firefox-Nutzer verursacht: Dieses Mal: Der Verlust aller Passwörter. Details und Tipps zur Wiederherstellung.

Wieder einmal fällt die Sicherheitssoftware AVG dadurch auf, dass sie schwerwiegende Probleme für Firefox-Nutzer verursacht: Dieses Mal: Der Verlust aller Passwörter. Details und Tipps zur Wiederherstellung.

Sicherheits-Software kommt mit einem Versprechen: Sie soll die Sicherheit der Nutzer verbessern. Doch schießt diese Art von Software dabei immer häufiger über das Ziel hinaus. So bietet beispielsweise fast jeder Hersteller eine Funktion an, welche auf einen Namen wie HTTPS-Scanning oder ähnlich hört, und damit die sicheren HTTPS-Verbindungen des Browsers in Manier einer Schadsoftware (es handelt sich dabei de facto um Man-in-the-Middle-Angriffe!), unterbricht. Tatsächlich ist diese Funktion sogenannter „Sicherheits“-Software nicht nur schlecht für die Sicherheit, sondern sorgt viel zu häufig sogar dafür, dass Firefox-Nutzer überhaupt keine Seiten über HTTPS mehr aufrufen können. Browser-Foren sind voll mit Themen zu diesem Problem. Auch konnten im Rahmen von Googles Project Zero in der Vergangenheit immer wieder schwerwiegende Sicherheits-Defizite in den Sicherheits-Softwares praktisch aller großen Namen nachgewiesen werden. Nicht zuletzt haben auch Firefox-Abstürze nicht selten ihre Ursache in dieser Art von Software.

Es ist noch gar nicht lange her, da war AVG mit gleich zwei Problemen in den Negativ-Schlagzeilen: Zum einen löschte AVG eigenwillig die Sprachpakete von Firefox-Nutzern und machte Firefox damit für einige Nutzer komplett unbrauchbar, da Firefox nicht mehr gestartet werden konnte und neu installiert werden musste. Zum anderen legte AVG Firefox-Nutzern grundlos nahe, System-Erweiterungen – also Bestandteile von Firefox – zu löschen, da diese angeblich nicht vertrauenswürdig seien.

Aktuell berichten diverse Nutzer von Firefox davon, dass sie alle ihre gespeicherten Zugangsdaten verloren haben. Die Ursache ließ sich in mehreren berichteten Fällen auf AVG zurückführen. AVG pfuscht an der Datei logins.json im Firefox-Profil des Anwenders herum, was in Firefox 67 und höher allerdings fehlschlägt und die Datei schließlich beschädigt. Die Folge: Alle gespeicherten Passwörter sind weg.

Die gute Nachricht: Die Passwörter sind nicht verloren. Im Firefox-Profil befindet sich nach dieser Aktion durch AVG eine Datei logins.json.corrupt. Die kurzfristige Lösung besteht darin, Firefox zu schließen, die Datei logins.json.corrupt in logins.json umzubenennen und Firefox wieder zu starten. Jetzt sind alle Passwörter wieder da.

Die schlechte Nachricht: Diese Lösung ist nicht von Dauer. Nach dem nächsten Neustart von Windows beginnt das Spiel von vorne: AVG hat die Passwort-Datei beschädigt, der Nutzer sieht keine Passwörter mehr.

Nachhaltig Abhilfe kann hier nur AVG durch ein Update schaffen – oder der Nutzer, indem er die Software von AVG von seinem System entfernt.

Der Beitrag Wieder AVG: Sicherheits-Software lässt Firefox Passwörter vergessen erschien zuerst auf soeren-hentzschel.at.

Antworten 7

13. Juni 2019 um 20:49
Zitat

Die Ursache ließ sich in mehreren berichteten Fällen auf AVG zurückführen. Avast manipuliert offensichtlich die Datei logins.json im Firefox-Profil des Anwenders

Bitte korrigieren: Ich wusste bis eben nicht, dass AVG eine Tochterfirma von Avast ist, insofern hast Du also Recht. Ich halte es aber trotzdem für missverständlich, weil es weiterhin Avast Antivirus gibt, hier aber nur AVG Antivirus betroffen ist.

13. Juni 2019 um 20:53

Danke, ist korrigiert. Ich hatte nicht vor, Avast an dieser Stelle zu schreiben (auch wenn Avast möglicherweise auch betroffen ist, da habe ich aber bislang keine Bestätigung für gesehen). ;)

13. Juni 2019 um 21:00
Zitat von Sören Hentzschel

Danke, ist korrigiert.

Auch danke von mir. Gibts bei Woltlab eigentlich eine einfache Danke-Funktion, ohne dass man gleich ein Antwortposting schreiben muss?

14. Juni 2019 um 15:25

AVG hat sich wie folgt geäußert:

Zitat

The AVG team has been able to identify the source of the problem in one of the AVG features (password protection). The product protects users from the risk of stolen passwords stored inside Firefox and other browsers. For Firefox, it only allows the process signed by Firefox certificate to access the storage.

We have been able to identify a problem with propagating the certificate trust to all our systems. FF 67.0.2 is signed by the newly issued certificate valid from 5/31/2019 and the problem most probably is caused by this. We have manually fixed our internal certificate flags on our backends and updated the process for future certificate updates (expecting no later than 6/4/2020).

New installations of AVG should be fixed right away, for existing users we are issuing the fix through a virus DB update that should be out within a couple of hours. The updated VPS version number is '19061402'. The current virus DB version can be checked in the following file "C:\Program Files\AVG\Antivirus\defs\aswdefs.ini"

https://bugzilla.mozilla.org/show_bug.cgi?id=1558765#c19

Avast war nicht betroffen (Avast hat das entsprechende Feature nicht).

14. Juni 2019 um 19:07

Danke für diese interessante Info;)

14. Juni 2019 um 22:26

Seit ca. 20 Minuten ist der SUMO-Artikel draußen, wird gerade übersetzt: https://support.mozilla.org/de/kb/password…ng-avg-security

15. Juni 2019 um 08:58

UpDate: Der Artikel ist nun übersetzt!

https://support.mozilla.org/de/kb/verschwi…-avg-anti-virus

Danke dafür, aber ist es nicht unglaublich, das die Mozilla-Hilfe, die fast ausschließlich von freiwilligen Helfern am Leben und aktuell gehalten wird, wiederholt auf ein Problem von zahlungspflichtiger und auch noch überflüssiger Dritt-Software, eingehen muss? :/

Diskutiere mit!