Güvenlik ürünleri ne kadar güvenlidir? İlk AVG, şimdi büyük kusurları olan TrendMicro
- Kategori: Güvenlik
Google araştırmacısı Tavis Ormandy, kısa bir süre önce Windows için TrendMicro Antivirus'ün parola yöneticisi bileşeninde, diğer şeylerin yanı sıra, web sitelerinin rastgele komutlar çalıştırmasına, depolanan tüm şifreleri açığa çıkarmasına veya 'güvenli bir tarayıcı çalıştırmasına izin veren birkaç önemli güvenlik sorunu içeren büyük bir kusur keşfetti. Bu hiç de güvenli değil.
Görünüşe göre Google şu anda Windows üzerindeki güvenlik ürünlerini araştırıyor ve orada özellikle bir şekilde Chrome web tarayıcısı veya Chromium ile etkileşimde bulunanlar.
Şirket AVG'yi açıkça utandırdı Ocak ayının başında, Chrome için Web TuneUp uzantısının güvenlik açıkları, onu kullanan 9 milyon Chrome kullanıcısını riske attı.
AVG güvenlik yazılımıyla veya ayrı olarak yüklenen TuneUp, uzantıyı yüklemiş olan Chrome kullanıcıları için 'web güvenliğini' devre dışı bırakarak Chrome kullanıcılarını riske attı.
AVG sonunda bir düzeltme üretti (bunun için iki deneme gerekiyordu, ilki yeterli olmadığından reddedildi).
TrendMicro Password Manager güvenlik sorunu
Ve şimdi Google tarafından açıkça utanan Trend Micro'dur. Ormandy'ye göre, Windows için TrendMicro Antivirus ile otomatik olarak yüklenen ve başlangıçta çalışan Password Manager bileşeni bu sefer suçludur ( ve ayrıca mevcut bağımsız bir program ve uygulama olarak).
Bu ürün, öncelikle JavaScript'te node.js ile yazılmıştır ve API isteklerini işlemek için birden çok HTTP RPC bağlantı noktası açar.
Sonunda ShellExecute () ile eşleşen rasgele komut yürütmesine izin veren openUrlInDefaultBrowser'ı tespit etmek yaklaşık 30 saniye sürdü.
Bu, herhangi bir web sitesinin rastgele komutlar başlatabileceği anlamına gelir [..]
Bir TrendMicro çalışanına yanıt olarak Ormandy aşağıdaki bilgileri ekledi:
Hey, burada güncelleme olup olmadığını kontrol etmek istedin mi? Bu, öntanımlı kurulumda önemsiz şekilde istismar edilebilir ve keşfedilebilir ve açık bir şekilde çözülebilir - bence, bunu düzeltmek için insanları çağırmalısınız.
FWIW, MOTW'ı atlamak ve herhangi bir uyarı olmadan komutlar oluşturmak bile mümkündür. Bunu yapmanın kolay bir yolu (Windows 7'de test edilmiştir), HTA dosyası içeren bir zip dosyasını otomatik olarak indirmek ve ardından onu [..] çağırmaktır.
TrendMicro'nun doğrulama için Travis Ormandy'ye gönderdiği ilk yapı, programın ana sorunlarından birini (ShellExecute kullanımı) çözdü, ancak bu, kodun kaba incelenmesi sırasında tespit edilen diğer sorunların üstesinden gelmedi.
Örneğin Ormandy, TrendMicro tarafından kullanılan API'lerden birinin Chromium'un 'eski' bir yapısını ortaya çıkardığını (şu anda sürüm 49 olarak mevcut olan tarayıcının 41 sürümü) ve bunun üzerine tarayıcının sanal alanını devre dışı bırakacağını belirtti. kullanıcılarına güvenli tarayıcı '.
TrendMicro'ya cevabı açıktı:
Sadece küresel nesneleri gizleyip bir tarayıcı kabuğu çağırıyordunuz ...? ... ve sonra ona 'Güvenli Tarayıcı' mı diyorsunuz?!? Aynı zamanda --disable-sandbox ile eski bir sürümü çalıştırmanız, yaralanmaya hakaret ekler.
Ne söyleyeceğimi bile bilmiyorum - bu şeyi * varsayılan olarak * tüm müşteri makinelerinizde yetkin bir güvenlik danışmanından denetim almadan nasıl etkinleştirebilirsiniz?
Son olarak, Ormandy, programın 'şifre yöneticisinde saklanan şifrelere erişmek için güzel ve temiz bir API' sunduğunu ve herkesin saklanan şifrelerin tümünü okuyabildiğini 'keşfetti.
Kurulum sırasında kullanıcılardan tarayıcı parolalarını dışa aktarmaları istenir, ancak bu isteğe bağlıdır. Bir saldırganın / exportBrowserPasswords API ile bunu zorlayabileceğini düşünüyorum, bu yüzden bu bile yardımcı olmuyor. Bunu belirten bir e-posta gönderdim:
Kanımca, kullanıcılar için bu özelliği geçici olarak devre dışı bırakmalı ve geçici kesinti için özür dilemeli, ardından kodu denetlemek için harici bir danışman tutmalısınız. Güvenlik sağlayıcıları ile ilgili deneyimime göre, kullanıcılar bir sorundan haberdar olduktan sonra kendilerini korumak için hızlı hareket ederlerse, kullanıcılar hataları oldukça affederler, bence yapabileceğiniz en kötü şey, siz bu şeyi temizlerken kullanıcıları açığa çıkarmaktır. Elbette seçim sizindir.
TrendMicro'nun çabalarına ve şirketin geçtiğimiz birkaç gün içinde ürettiği birkaç yamaya rağmen sorun, yazı yazılırken tamamen çözülmemiş gibi görünüyor.
Güvenlik yazılımı doğası gereği güvensiz mi?
Buradan çıkması gereken ana soru, 'güvenlik ürünleri ne kadar güvenlidir'? Antivirüs alanındaki büyük oyuncular tarafından iki üründeki iki ana sorun endişe kaynağıdır, özellikle de kendi ürünlerini düzgün bir şekilde korumuş gibi görünen tek sorun onlar olmadığından.
Son kullanıcılar için, onları güvencesiz bir durumda bırakan bir şeyin yanlış olduğunu söylemek neredeyse imkansızdır. Verilerini güvende tutmak için güvenlik çözümlerine güvenebilirler mi, yoksa riske atan bilgisayarlarını güvence altına almaları gereken yazılım mıdır?