Разработчики из компании Google раскрыли тот факт, что Comodo Internet Security представляет серьезную угрозу безопасности для пользователей. Продукт использует агрессивную маркетинговую стратегию, которая заключается в принудительной установке нового браузера и замене всех текущих пользовательских настроек.
Когда мы говорим про Comodo Internet Security, мы обычно думаем о средстве усиленной безопасности, но оказывается за этим стоит установочный комплект, который принудительно устанавливает новый браузер под названием Chromodo.
Давайте предположим, что это имеет смысл. Продукт называется Comodo Internet Security, может быть новый браузер как раз и воплощает “защиту”. К сожалению, это не тот случай, и специалист по информационной безопасности Google Тэвис Орманди (Tavis Ormandy) опубликовал тревожную запись про найденную уязвимость, которая объясняет, почему Comodo Internet Security действительно опасен.
Как поясняют в OpenNET в Chromodo оказался отключен ключевой механизм обеспечения безопасности - same-origin, не позволяющий одному сайту получить доступ к окну с другим сайтом. Разработчиками из Google продемонстрирован код, позволяющий в Chromodo перехватить Cookie из другого окна/вкладки браузера и выполнить в контексте другого окна произвольные действия.
Принудительное отключение веб-защиты
Как следует из названия, Chromodo построен на платформе Chromium, вот почему сообщение об ошибке появилось на сайте Google. Ошибка безопасности является не единственной проблемой. Оказывается, Chromodo импортирует все данные из Google Chrome, заменяет ярлыки и перехватывает стандартные настройки DNS.
Тэвис пояснил: “Когда Вы устанавливаете Comodo Internet Security, новый браузер Chromodo устанавливается в системе и задается как браузер по умолчанию. Дополнительно, все ярлыки заменяются на ссылки Chromodo, и все настройки, файлы куки и другие данные импортируются из Chrome. Кроме всего прочего, браузер изменяет стандартные настройки DNS. Таким образом, отключаются все средства веб-защиты”.
Команде Comodo потребовалось много времени, чтобы исправить проблему, а решение оказалось довольно слабым, его несложно обойти.
Оказывается, многие другие вендоры антивирусного ПО также выполняют очень сомнительные действия в рамках своих приложений. AVG AntiVirus принудительно устанавливал расширение для Google Chrome, которое добавляло большое количество Javascript API для взлома настроек поиска и новой вкладки.
Ошибка прошла 90-дневный период рассекречивания. Это означает, что компания Comodo была проинформирована 3 месяца назад и ничего не сделал для устранения проблемы. Теперь ошибка стала публичной, доступной для просмотра любому пользователю.
Угрозы безопасности
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО
• D-Link не будет исправлять уязвимость, которая затрагивает 60 тысяч устаревших модемов
• qBittorrent исправляет уязвимость, из-за которой пользователи подвергались MitM-атакам в течение 14 лет
• «Лаборатория Касперского» предупреждает о вирусах в финансовых Telegram-каналах