Google okrcal Trend Micro

Google je v zadnjem času zelo aktiven pri razkrivanju varnostnih tveganje v programskih izdelkih partnerjev, ki bi utegnili omajati varnostni nivo Googlovih programov. Pred časom so tako razkrili ranljivost v vtičniku za Chrome družbe AVG, zdaj pa je kritizirajo početje podjetja Trend Micro.

Googlov inženir Travis Ormandy je ugotovil veliko varnostno luknjo v dodatku Password Manager, ki ga Trend Micro privzeto namešča ob protivirusnem programu za okolje Windows. Program, ki bi moral ščiti uporabnikova gesla pred tujci je imel luknjo, ki je omogočala izvajanje ukazov in drugih programov na napadenem računalniku nič hudega slutečih uporabnikov protivirusnega programa. Luknjo se je dalo izrabiti tudi v primerih, ko uporabnik sploh ni nikoli uporabil upravitelja gesel.

Natančnejši pregled je pokazal, da je program uporabil zastarel programski klic API brskalnika Chromium, ki že lep čas ni v rabi oziroma je posodobljen. Zaradi tega je program na razmeroma preprost način spustil napadalca iz peskovnika in mu dovolil nadzor nad računalnikom.

Googlov inženir se je upravičeno javno vprašal, kako je sploh mogoče, da se v kodo prikrade take luknja in to v privzetih nastavitvah programa. Kaže na to, da je varnostno testiranje varnostnega programa (?!) bilo zelo pomanjkljivo. Trend Micro je medtem napako popravil in se zahvalil za obvestilo ter opravičil za napako.

Napaka je žal le ena izmed mnogih, ki so si jih v zadnjem času privoščila podjetja, ki razvijajo rešitve za računalniško varnost. Zaskrbljujoče je predvsem dejstvo, da uporabniki prav njim najbolj zaupajo in so zato manj pozorni kot pri rabi drugih programov.