De plugin bevat een kwetsbaarheid die het mogelijk maakt voor aanvallers om niet alleen je browser-geschiedenis te kapen, maar ook je cookies en andere configuratie-details van Chrome. De extensie is zo gebouwd dat alle Chrome-store malware-checks omzeild worden. Bovendien voegt de plugin verschillende Javascript-API's toe waarmee de zoekinstellingen kunnen worden gewijzigd. Ten slotte werden ook alle SSL-mogelijkheden uitgeschakeld waardoor surfen via HTTPS niet mogelijk was

Halfbakken Chrome-extensie

Het lek werd ontdekt door Travis Ormandy die meteen alarm sloeg bij AVG. Ormandy meldt dat het vooral de Javascript-API's zijn die het geheel zo onveilig maken. Deze zijn, volgens Ormandy, slecht geschreven. Er is geen enkele bescherming tegen cross-domain-verzoeken wat erop neer komt dat code, welke gehost wordt op het ene domein uitgevoerd kan worden op een ander domein. Dit zou kunnen betekenen dat aanvallers toegang kunnen krijgen tot informatie op bijvoorbeeld Gmail of bankwebsites, een zeer kwalijke zaak.

AVG heeft inmiddels een update uitgebracht en raadt iedereen aan te updaten naar versie 4.2.5.169. Daarnaast heeft Google de extensie geblokkeerd. Gebruikers kunnen de extensie nu alleen nog maar installeren door zelf naar de Chrome Web Store te gaan en aan te geven de extensie te willen installeren.