חוקר מגוגל על פירצה בטרנד מיקרו: זה הדבר המגוחך ביותר שראיתי

חוקר בפרויקט Zero של גוגל, קבוצת חוקרי אבטחה שהוקמה כדי לחשוף פרצות יום אפס, חשף פירצה במנהל הסיסמאות של טרנד מיקרו. הפירצה אפשרה להאקרים להפעיל קוד זדוני ולצפות בנתוני מנהל הסיסמאות אשר מובנה בתוכנת ההגנה מקוד זדוני של טרנד מיקרו.

מעניין לבצע מעקב אחר התקשורת בין החוקר לבין נציג של טרנד מיקרו, במשך יומיים עד לפרסום עדכון לתוכנה, כאשר החוקר של גוגל מטיף לטרנד מיקרו על הפירצה שהשאירו להאקרים, אך במקביל הוא גם מסייע רבות לסייע.

"מוצר זה נכתב בעיקר עם JavaScript עם node.js, והוא פותח מספר פורטים של HTTP RPC לטיפול בבקשות API", כותב החוקר של גוגל בפניה הראשונה. "לקח בערך 30 שניות לזהות אחת המאפשרת הפעלת פקודות שרירותית,  openUrlInDefaultBrowser, אשר מבצעת מיפוי של ShellExcute".

בהמשך יצרה טרנד מיקרו פתרון, אך החוקר של גוגל מצא שוב פעם ליקוי חמור, והופך לכעוס מאוד: "שמתי לב כי נקודת הקצה /api/showSB/ תפעיל בילד ישן של Chromium באמצעות –disable-sanbox. כדי להוסיף על העלבון, הם רושמים "Secure Browser ל- UserAgent"

"שלחתי דוא"ל האומר 'זה הדבר המגוחך ביותר שאי פעם ראיתי", ולאחר מכן הוא מוסיף: "העברתי מספר דקות בניסיון להבין כיצד ה- SB Shell פועלת, ואז הבנתי שהם פשוט החביאו את האובייקטים  הגלובליים. שלחתי את מכתב ההמשך הבא:

זה מגוחך, wtf זה:

פשוט החבאתם את האובייקטים הגלובליים והפעלתם browser shell…? וקראתם לזה "Secure Browser"?!? העובדה כי אתם גם מפעילים גרסה ישנה באמצעות –disable-sandbox רק מוסיפה על העלבון.

אני אפילו לא יודע מה לומר – כיצד אתם יכולים לאפשר דבר כזה כ*ברירת מחדל* אצל כל מחשבי הלקוחות שלכם, מבלי בקרה מיועץ אבטחה איכותי? אתם צריכים תוכנית כדי לתקן את זה כרגע. האמת, זה גם נראה כאילו אתם חושפים את כל הסיסמאות המאוחסנות לאינטרנט, אבל בואו נדאג לפשלה הזאת אחרי שתשלטו בהפעלת הקוד מרחוק".

יום עבור והוא מסביר שוב:

"…המשמעות היא , שכל אחד באינטרנט יכול לגנוב את כל הסיסמאות שלך בשקט מוחלט, וכן להפעיל קוד שרירותי עם אפס ממשק עם המשתמש. אני ממש מקווה שחומרת הדברים ברורה לך, מכיוון שאני נדהם מכך".

טרנד מיקרו תיקנה את הפירצה בעקבות הדיווח מגוגל.