سرقت گذرواژه‌ کاربران با رخنه‌ای در نرم‌افزار امنیتی شرکت ترندمیکرو

 کارشناسان امنیتی گوگل در یک مدل مفهومی نشان دادند نرم‌افزارهای امنیتی که قرار است به عنوان سپری در برابر هکرها قرار گیرند، خود عاملی برای نفوذ هکرها به یک سیستم می‌شوند. به‌گونه‌ای که راه را برای هکرها هموار می‌سازند. تاویس‌اورماندی مهندس امنیت‌اطلاعات شرکت گوگل در وبلاگ خود نوشت: «محصول آنتی‌ویروس شرکت ترند میکرو به هکرها این توانایی را می‌دهد از طریق هر سایتی به اجرای از راه دور کدهایی به‌پردازد که در نهایت گذرواژه کاربران را به سرقت می‌برد». محصول امنیتی شرکت ترندمیکرو همراه با یک برنامه مدیریت گذرواژه‌ها در اختیار کاربران قرار می‌گیرد، رخنه شناسایی شده در برنامه مدیریت گذرواژه‌ها این بسته امنیتی به هکرها این امکان را می‌دهد تا به‌راحتی به سرقت گذرواژه‌های کاربران به‌پردازند. ترندمیکرو ضمن تأیید این خبر اعلام کرده است که به‌روزرسانی لازم برای ترمیم این رخنه را عرضه کرده است. رخنه شناسایی شده به ما یک درس بزرگ داد. سایت‌ها نیز این توانایی را دارند تا کامپیوتر ما را هک کنند.

مطلب پیشنهادی

دسترسی به دستگاه‌های اندرویدی

گذرواژه‌هایی که از خود استقلال عمل ندارند

محصول آنتی‌ویروس شرکت ترندمیکرو همراه با یک مدیر گذرواژه در اختیار مصرف‌کنندگان قرار می‌گیرد. کاربران می‌توانند گذرواژه‌های خود را درون این مدیرگذرواژه وارد کنند. این مدیر گذرواژه که به زبان جاوا اسکریپت نوشته شده است تعدادی از درگاه‌های HTTP RPC را برای رسیدگی به درخواست‌های API  باز نگه‌‌ می‌دارد. اورماندی در وبلاگ خود نوشته است:، موفق به شناسایی یک API شده است. این API به او اجازه داد تا به گذرواژه‌های ذخیره شده در مدیر گذرواژه دسترسی داشته باشد. به‌عبارت ساده‌تر، یک هکر با استفاده از این API به آسانی توانایی دانلود کد مخرب و اجرای این کد روی ماشین قربانی را دارد. بدون آن‌که قربانی از این موضوع اطلاع داشته باشد. مکانیزم مورد استفاده توسط این مدیر گذرواژه بر پایه سرور Node.JS است که روی کامپیوتر محلی اجرا می‌شود. شبیه به سوپرفیش لنوو و eDellRoot شرکت دل، ترندمیکرو از یک گواهی امنیتی خودامضاء برای ذخیره‌سازی گواهی کاربر استفاده می‌کند، در نتیجه کاربران این محصول هیچ خطای HTTPS را در این ارتباط مشاهده نمی‌کنند. میکروترند از این گواهی برای ذخیره‌سازی ایمن گذرواژه‌ها استفاده می‌کند. همین موضوع باعث می‌شود تا کاربران نیازی به کلیک‌کردن روی خطاهای امنیتی نداشته باشند. اورماندی در ارتباط با این گواهی امنیتی گفته است: «به‌کارگیری چنین راه‌کاری از سوی ترندمیکرو عجیب به نظر می‌رسد». اورماندی در بخش دیگری از وبلاگ خود نوشته است که در این ارتباط، موفق به شناسایی 70 API شده است. هر چند همه این APIها مشکلات امنیتی را به وجود نمی‌آورند، اما بعضی از آن‌ها زمینه‌ساز سرقت گذرواژ‌ه‌های کاربران می‌شوند. او در این ارتباط به ترندمیکرو پیش‌نهاد داده است از یک مشاور متخصص برای بررسی این APIها استفاده کنند. او در این ارتباط گفته است، تنها 30 ثانیه برای اجرای دستورات موردنیاز خود زمان نیاز داشته است. تصویر زیر نتیجه تحقیق و پژوهش اورماندی را نشان می‌دهد.

برنامه‌های آنتی‌ویروس با بالاترین سطح مجوزها روی سیستم‌عامل اجرا می‌شوند. این بدان معنا است که یک آسیب‌پذیری در این سطح به یک هکر اجازه می‌دهد به عمیق‌ترین لایه‌های درون سیستم یک کاربر نفوذ کنند. کریستفور‌باد مدیر ارتباطات شرکت ترندمیکرو در این ارتباط گفت: «به‌عنوان بخشی از فرآیند پاسخ‌دهی به آسیب‌پذیری‌های استاندارد در محصولاتمان ما با کمک گرفتن از تاویس اورماندی به شناسایی و ترمیم آسیب‌پذیری موجود پرداختیم. مشتریان ما با استفاده از فرآیند به‌روزرسانی خودکار می‌توانند این وصله را دریافت کنند». اگر جزء آن گروه از کاربرانی هستید که هنوز به‌‌روزرسانی ترندمیکرو را دریافت نکرده‌اید، به شما توصیه می‌کنیم برای حفظ امنیت و برای پیش‌گیری از بروز حملات هکری، هرچه سریع‌تر وصله لازم را دریافت و آن‌را نصب کنید. متن گزارش امنیتی منتشر شده از سوی گوگل همراه با نمونه کدها را در سایت اکسپلویت‌دی‌بی به نشانی مشاهده کنید.

به‌‌نظر می‌رسد کارشناسان امنیتی در هفت ماه گذشته علاقه خاصی به نرم‌افزارهای امنیتی پیدا کرده‌اند، به‌طوری که در این مدت آسیب‌پذیری‌های نسبتا خطرناکی در محصولات امنیتی سازندگان بزرگ محصولات امنیتی هم‌چون کسپرسکی، ESET، Avast، AVG technologies، Intel Security و Malwarebytes شناسایی شده است.