Det minste man skulle kunne forvente av leverandører av sikkerhetsprogramvare, er at programvaren selv ikke har helt åpenbare sårbarheter. Dessverre har dette i det siste vist seg ikke å være tilfellet.
I løpet av noen dager har Google Project Zero og Tavis Ormandy, en ikke så rent lite omstridt sikkerhetsforsker hos Google, offentliggjort detaljer om sårbarheter i intet mindre enn tre ulike sikkerhetsprodukter fra ulike leverandører. Som vanlig er leverandørene blitt varslet om sårbarhetene 90 dager før detaljene har blitt offentliggjort.
Malwarebytes
Det første tilfellet gjelder Malwarebytes Anti-Malware, et produkt selskapet selv oppgir at kjøres på omtrent en kvart milliard endepunkter globalt. Denne sikkerhetsprogramvaren laster ned signaturoppdateringer over en ikke-kryptert HTTP-forbindelse. Det er dermed mulig for en angriper å utføre en man-in-the-middle-angrep mot forbindelsen og klusse med dataene som overføres.
Ormandy skriver at filene inkluderer en MD5-sjekksum, men denne er ikke signert og leveres også via HTTP. Den kan derfor erstattes av angriperen.
Selve dataene er krypterte med en hardkodet RC4-nøkkel, men det er fullt mulig å finne nøkkelen og bruke for eksempel openssl til å dekryptere dataene, før de endres og krypteres på nytt med samme nøkkel.
I rapporten omtaler Ormandy også flere andre sårbarheter i produktet.
Malwarebytes kom denne uken med en kunngjøring om problemet hvor det loves at flere av sårbarhetene nå har blitt rettet på serversiden, men at det vil kunne ta 3-4 uker før en oppdatering av klientprogramvaren gjøres tilgjengelig.
Problemene berører trolig både konsument- og premium-utgavene av Anti-Malware-produktet, men i den sistnevnte versjonen kan brukerne aktivere «self-protection» under innstillingene for å redusere risikoen ved de aktuelle sårbarhetene.
Nettlesere - nok en gang
Flere kjente sikkerhetsselskaper mener at de kan levere nettlesere med bedre sikkerhet enn originalene, men det kan man tydeligvis ikke stole på. Som digi.no omtalte nylig, tilbyr Trend Micro en slik nettleser som attpåtil kalles for Secure Browser. Den var basert på en eldre Chromium-utgave og hadde deaktivert sikkerhetssandkasse.
– Dette er det latterligste jeg noen gang har sett, var beskjeden fra Ormandy til Trend Micro før i alle fall noen av problemene ble løst.
Nå har Project Zero studert Chromodo, nok en Chromium-basert nettleser, som tilbys av sikkerhetsselskapet Comodo. Denne følger med produktet Comodo Internet Security, installeres som standard og gjøres til standard nettleser i Windows. Den importerer blant annet innstillinger og cookies, kaprer systemet DNS-innstillinger og gjør annet som Ormandy omtaler som lyssky praksis.
– Chromodo beskrives som «highest levels of speed, security and privacy», men faktisk deaktiverer den all websikkerhet, skriver Ormandy.
For nettleseren deaktiverer nettleserens «same origin policy», som begrenser hvordan et dokument (HTML, etc) eller skript som lastes fra én kilde (vert, protokoll, port), kan få tilgang til eller samhandle med ressurser fra en annen kilde. Dette er vesentlig for å hindre ondsinnet tilgang til fortrolig informasjon, for eksempel en nettbank.
For en drøy uke siden skal Ormandy ha gitt Comodo eksempelkode på hvordan dette kan utnyttes. Comodo skal denne uken ha kommet med en oppdatering til Chromodo som gjør at eksempelkoden ikke lenger fungerer, men den fjerner ifølge Ormandy ikke den egentlige sårbarheten.
I en uttalelse til The Next Web sier en kommunikasjonsdirektør hos Comodo at de aktuelle problemene ikke var i selve Chromodo, men i et tillegg til nettleseren. Dette skal ha blitt fjernet gjennom en oppdatering som ble rullet ut i går. Men uansett er det Comodo som har distribuert dette nettlesertillegget til kundene, tydeligvis uten å sjekke om det utgjorde noen stor sikkerhetsrisiko.
Avastium
Også sikkerhetsselskapet Avast tilbyr en versjon av Chromium, og også denne versjonen, Avastium, hadde fram til i går en interessant sårbarhet. Men i motsetning til de øvrige, skal ikke denne ha vært like åpenbar.
– Denne er komplisert, men lar en angriper lese enhver fil i filsystemet ved å klikke på en lenke. Du trenger ikke engang vite navnet eller filbanen, fordi du ved å bruke dette angrepet kan hente mappeoversikter. I tillegg kan du sende «autentiserte» HTTP-forespørsler og lese responsene. Dette lar en angriper lese cookies, e-post, samhandle med nettbanker, og så videre, skriver Ormandy.
Vi overlater det til leseren å lese resten av detaljene her og avslutter saken med denne konklusjonen fra sikkerhetsforskeren Joxean Koret:
With regard to "secure browsers" implemented by AVs: in general, do not ever use your AV's supplied browser. I've analyzed 3. All broken.
— Joxean Koret (@matalaz) 3. februar 2016