כמה בטוחים מוצרי אבטחה? AVG ראשונה, עכשיו TrendMicro עם ליקויים גדולים
- קטגוריה: בִּטָחוֹן
חוקר גוגל, טוויס אורמנדי, גילה ליקוי משמעותי ברכיב מנהל הסיסמאות של TrendMicro Antivirus עבור Windows לאחרונה, שהיו לו כמה בעיות אבטחה מרכזיות אשר יאפשרו, בין היתר, לאתרים להריץ פקודות שרירותיות, לחשוף את כל הסיסמאות השמורות או להריץ דפדפן מאובטח. 'זה בכלל לא בטוח.
נראה כי גוגל בוחנת כעת מוצרי אבטחה במערכת Windows, ובמיוחד כאלה שמתקשרים עם דפדפן האינטרנט של Chrome או Chromium בדרך זו או אחרת.
החברה הביישה את AVG בגלוי בתחילת ינואר להרחבת ה- Web TuneUp שלה ל- Chrome משום שליקויי אבטחה מציבים את 9 מיליון משתמשי Chrome המשתמשים בה בסכנה.
TuneUp, המותקן עם תוכנת אבטחה AVG או בנפרד, מסכן את משתמשי Chrome על ידי השבתת 'אבטחת אינטרנט' עבור משתמשי Chrome שהתקנו את התוסף.
AVG ייצר בסופו של דבר תיקון (היה צורך בשני ניסיונות לשם כך, הראשון נדחה מכיוון שהוא לא הספיק).
בעיית אבטחה של TrendMicro Manager
ועכשיו זהו טרנד מיקרו שמתבייש באופן גלוי על ידי גוגל. לדברי אורמנדי, רכיב מנהל הסיסמאות הוא האשם הפעם שמותקן אוטומטית באמצעות TrendMicro Antivirus עבור Windows ופועל בהתחלה ( וגם זמין כתוכנית ואפליקציה עצמאית).
מוצר זה נכתב בעיקר ב- JavaScript עם node.js, ופותח מספר יציאות HTTP RPC לטיפול בבקשות API.
לקח בערך 30 שניות לאתר אחד שמאפשר ביצוע פקודות שרירותי, openUrlInDefaultBrowser, שבסופו של דבר ממפה ל- ShellExecute ().
המשמעות היא שכל אתר יכול להפעיל פקודות שרירותיות [..]
בתשובה לעובד של TrendMicro אורמנדי הוסיף את המידע הבא:
היי, רק רצית לבדוק אם יש כאן עדכון כלשהו? זה ניתן לניצול טריוויאלי וניתן לגלות אותו בהתקנת ברירת המחדל, וכמובן שאי אפשר לתאר אותו - לדעתי, אתה אמור להזמין אנשים כדי לתקן זאת.
FWIW, אפשר אפילו לעקוף את MOTW, ולפקוד פקודות ללא כל הנחיות כלשהן. דרך קלה לעשות זאת (נבדק ב- Windows 7) הייתה להוריד אוטומטית קובץ zip המכיל קובץ HTA ואז להפעיל אותו [..]
המבנה הראשון ששלחה TrendMicro לטרוויס אורמנדי לאימות, תיקן את אחד הנושאים העיקריים של התוכנית (השימוש ב- ShellExecute), אך זה לא דאג לסוגיות אחרות שנראו במהלך הבדיקה הגסה של הקוד.
אורמנדי ציין למשל כי אחד ממשקי ה- API בהם השתמשו TrendMicro הוליד 'מבנה עתיק' של כרום (גרסה 41 לדפדפן שכעת זמינה כגרסה 49) וכי היא תשבית את ארגז החול של הדפדפן על גבי זה כדי להציע ' דפדפן מאובטח 'למשתמשים שלו.
תשובתו ל- TrendMicro הייתה בוטה:
פשוט הסתרת את האובייקטים הגלובליים וקראת פגז דפדפן ...? ... ואז קוראים לו 'דפדפן מאובטח'?!? העובדה שאתה מנהל גרסה ישנה עם ארגז חול - ניתן להחלפה פשוט מוסיף עלבון לפגיעה.
אני אפילו לא יודע מה לומר - איך אתה יכול לאפשר את הדבר הזה * כברירת מחדל * בכל מכונות הלקוחות שלך בלי לקבל ביקורת מיועץ אבטחה מוסמך?
אחרון חביב, אורמנדי גילתה שהתוכנית הציעה 'API נקי ונקי לגישה לסיסמאות המאוחסנות במנהל הסיסמאות', וכי מישהו יכול לקרוא את כל הסיסמאות המאוחסנות '.
המשתמשים מתבקשים בהתקנה לייצא את סיסמאות הדפדפן שלהם, אך זה לא חובה. אני חושב שתוקף יכול לאלץ אותו באמצעות / exportBrowserPasswords API, כך שגם זה לא עוזר. שלחתי דוא'ל שהצביע על כך:
לדעתי, עליך לבטל באופן זמני את התכונה הזו למשתמשים ולהתנצל על ההפרעה הזמנית, ואז לשכור ייעוץ חיצוני לביקורת הקוד. מניסיוני בהתמודדות עם ספקי אבטחה, המשתמשים סולחים על טעויות אם הספקים פועלים במהירות כדי להגן עליהם ברגע שמודעים להם על בעיה, אני חושב שהדבר הגרוע ביותר שאתה יכול לעשות זה להשאיר משתמשים חשופים בזמן שאתה מנקה את הדבר הזה. הבחירה היא שלך, כמובן.
נראה כי הנושא לא תוקן לחלוטין בעת כתיבתו למרות מאמציו של TrendMicro וכמה תיקונים שהייתה החברה במהלך הימים האחרונים.
תוכנת אבטחה מטבעה לא בטוחה?
השאלה העיקרית שצריכה לצאת מזה היא 'עד כמה מאובטחים מוצרי אבטחה'? שני נושאים עיקריים בשני מוצרים של שחקנים מרכזיים בתחום האנטי-וירוס מעוררים דאגה, במיוחד מכיוון שיש סיכוי שהם לא היחידים שלא נראה שהבטיחו את המוצרים שלהם כמו שצריך.
עבור משתמשי קצה, כמעט בלתי אפשרי לדעת שמשהו לא בסדר שמשאיר אותם במצב רעוע. האם הם יכולים לסמוך על פיתרון האבטחה שלהם כדי לשמור על בטיחות הנתונים שלהם, או שמא התוכנה שצריכה לאבטח את המחשבים שלהם מסכנת אותם?