H Trend Micro είναι μια γνωστή εταιρεία "security" που όπως φαίνεται εκθέτει τα ευαίσθητα δεδομένα των πελατών της. Πως; Μέσω του Node.js που χρησιμοποιεί η εταιρεία από προεπιλογή στους υπολογιστές των πελατών της.
Ο διακομιστής Node.js είναι μέρος του "Password Manager" της Trend Micro, και αφήνει αρκετές θύρες ανοικτές, κάτι το οποίο θα μπορούσε να εκθέσει τους χρήστες σε οποιαδήποτε Phishing website, or running a malicious application, with JavaScript requests.
This means that an attacker could easily send remote code and run it on the victim's computer without knowing it.
Όμως τα πράγματα γίνονται και χειρότερα....
Trend Micro also uses a self-signed security certificate to store user certificates to avoid any HTTPS errors.
But let's see how the revelation took place. Tavis Ormandy, researcher on the team Project Έργο Zero της Google. Είναι γνωστός κυνηγός ευπαθειών και αναφέρει ότι "το πράγμα είναι γελοίο."
Ormandy found that an intruder could quietly steal them codeaccess keys stored in Trend Micro and decrypt them using the original flaw.
The researcher suggested that the company disable the feature to protect its users:
Κατά τη γνώμη μου, θα πρέπει να απενεργοποιήσετε προσωρινά αυτό το χαρακτηριστικό στους χρήστες σας και να τους ζητήσετε συγγνώμη για την προσωρινή διακοπή. Προσλάβετε έναν εξωτερικό συμβούλο για τον έλεγχο του κώδικα σας. Σύμφωνα με την εμπειρία μου, που ασχολούνται με τους πωλητές ασφάλειας, οι χρήστες είναι αρκετά ελαστικοί αν πωλητές ενεργήσουν γρήγορα και τους προστατεύσουν μόλις ενημερωθούν για ένα πρόβλημα. Νομίζω ότι το χειρότερο πράγμα που μπορείτε να κάνετε είναι να αφήσετε τους χρήστες που εκτιθεμένους. Η επιλογή είναι δική σας, φυσικά."
Eventually, Trend Micro chose not to turn off the tool. The investigator revealed the error
in Trend Micro on January 5, but has not been resolved to date.
Το σφάλμα υπάρχει από αυτή τη στιγμή δημοσιευμένο σε δημόσια θέα...
Let's see the reaction company's reaction time.
https://code.google.com/p/google-security-research/issues/detail?id=693