H Trend Micro είναι μια γνωστή εταιρεία “ασφαλείας” που όπως φαίνεται εκθέτει τα ευαίσθητα δεδομένα των πελατών της. Πως; Μέσω του Node.js που χρησιμοποιεί η εταιρεία από προεπιλογή στους υπολογιστές των πελατών της.
Ο διακομιστής Node.js είναι μέρος του “Password Manager” της Trend Micro, και αφήνει αρκετές θύρες ανοικτές, κάτι το οποίο θα μπορούσε να εκθέσει τους χρήστες σε οποιαδήποτε phishing ιστοσελίδα, ή εκτέλεση κάποιας κακόβουλης εφαρμογής, με αιτήματα JavaScript.
Αυτό σημαίνει ότι ένας εισβολέας θα μπορούσε εύκολα να στείλει απομακρυσμένα κώδικα και να τον εκτελέσει στον υπολογιστή του θύματος, χωρίς να το γνωρίζει.
Όμως τα πράγματα γίνονται και χειρότερα….
Η Trend Micro χρησιμοποιεί επίσης ένα αυτο-υπογεγραμμένο πιστοποιητικό ασφαλείας για την αποθήκευση πιστοποιητικών του χρήστη, για να αποφύγει τυχόν λάθη του HTTPS.
Ας δούμε όμως πως έγινε η αποκάλυψη. Ο Tavis Ormandy, ερευνητής στην ομάδα Project Έργο Zero της Google. Είναι γνωστός κυνηγός ευπαθειών και αναφέρει ότι “το πράγμα είναι γελοίο.”
Ο Ormandy διαπίστωσε ότι ένας εισβολέας θα μπορούσε αθόρυβα να κλέψει τους κωδικούς πρόσβασης που αποθηκεύονται στην Trend Micro και να τους αποκρυπτογραφήσει, χρησιμοποιώντας το αρχικό ελάττωμα.
Ο ερευνητής πρότεινε στην εταιρεία να απενεργοποιήσετε τη λειτουργία, για να προστατεύσει τους χρήστες της:
Κατά τη γνώμη μου, θα πρέπει να απενεργοποιήσετε προσωρινά αυτό το χαρακτηριστικό στους χρήστες σας και να τους ζητήσετε συγγνώμη για την προσωρινή διακοπή. Προσλάβετε έναν εξωτερικό συμβούλο για τον έλεγχο του κώδικα σας. Σύμφωνα με την εμπειρία μου, που ασχολούνται με τους πωλητές ασφάλειας, οι χρήστες είναι αρκετά ελαστικοί αν πωλητές ενεργήσουν γρήγορα και τους προστατεύσουν μόλις ενημερωθούν για ένα πρόβλημα. Νομίζω ότι το χειρότερο πράγμα που μπορείτε να κάνετε είναι να αφήσετε τους χρήστες που εκτιθεμένους. Η επιλογή είναι δική σας, φυσικά.”
Τελικά, η Trend Micro επέλεξε να μην απενεργοποιήσει το εργαλείο. Ο ερευνητής αποκάλυψε το σφάλμα
στην Trend Micro στις 5 Ιανουαρίου, αλλά δεν έχει επιλυθεί μέχρι σήμερα.
Το σφάλμα υπάρχει από αυτή τη στιγμή δημοσιευμένο σε δημόσια θέα…
Ας δούμε τον χρόνο αντίδρασης της εταιρείας ασφαλείας..
https://code.google.com/p/google-security-research/issues/detail?id=693
