جوجل تكشف ثغرة ضمن تطبيق كلمات السر لشركة تريند مايكرو
قام فريق مشروع جوجل Project Zero بالكشف عن عدة نقاط ضعف بتنفيذ التعليمات البرمجية عن بعد موجودة داخل تطبيق مدير كلمات السر password manager الذي تقوم شركة تريند مايكرو بتثبيته بشكل افتراضي جنباً إلى جنب مع منتجات مكافحة الفيروسات التابع لها.
وقام ترافيس أورماندي الباحث الأمني ضمن مشروع جوجل Project Zero باكتشاف الثغرات، وتم تصميم أداة إدارة كلمات السر بواسطة جافا سكريبت وnode.js.
وأشار ترافيس ضمن صفحة أبحاث الأمن التابعة لجوجل “عند قيام المستخدم بتثبيت برنامج مكافحة الفيروسات الخاص بشركة تريند مايكرو على نظام التشغيل ويندوز يقوم البرنامج بتثبيت مكون إضافي يسمى إدارة كلمات المرور بشكل افتراضي، ويعمل هذا المكون بشكل تلقائي عند بدء التشغيل”.
وأضاف ترافيس “يمكن استغلال هذه الثغرات بشكل عادي وهي غير قابلة للإكتشاف عند تثبيت الإضافة بشكل افتراضي ويجب على جميع المستخدمين الحصول على الإصلاح الذي قامت الشركة بإصداره لتلافي المشكلة”.
وقام ترافيس بتوجيه كلامه إلى شركة تريند مايكرو حول كيفية قيامهم بتفعيل الإضافة بشكل افتراضي على جميع أجهزة عملاء الشركة دون قيامهم بالحصول على تدقيق أمني مختص.
ووجد الباحث الأمني انه يمكن استغلال هذه الإضافة بشكل سهل والوصول إلى كافة كلمات المرور المخزنة ضمن هذه الإضافة حتى لو كانت مخزنة بشكل مشفر.
وأشار إلى إمكانية قيام القراصنة باستخدام الدوال البرمجية decryptString لفك تشفير كافة السلاسل ومن ثم يقومون بنشرها في مكان آخر،
وأضاف انه يمكن لأي شخص على شبكة الانترنت بقليل من الخبرة القيام بسرقة جميع كلمات السر الخاصة بالمستخدم المستهدف وبشكل صامت تماماً.
يجدر الإشارة إلى قيام شركة تريند مايكرو بإصدار إصلاح أولي طارئ لحل الثغرات الأمنية الحرجة الموجودة ضمن منتجاتها الأساسية والتي تسمح للقراصنة باستغلالها لعرض كلمات السر المشفرة وتنفيذ تعليمات برمجية ضارة.
