Tavis Ormandy, ingegnere Google che ultimamente ha molto fatto parlare di sé, torna a “fare le pulci” ai produttori di software antivirus.
Dopo aver recentemente scoperto delle falle di sicurezza in alcune componenti software distribuite con i prodotti di AVG e Trend Micro (vedere anche l’articolo Eliminare estensioni dal browser, attenzione anche a quelle degli antivirus), Ormandy ha messo sotto la lente due browser “alternativi” sviluppati e distribuiti da Avast e Comodo.
Presentati dai produttori come “browser sicuri“, secondo Ormandy si tratterebbe di prodotti contenenti diverse lacune di sicurezza.
Sia Avastium che Chromodo (il primo realizzato dai tecnici di Avast, il secondo da quelli di Comodo), sono “fork” ovvero prodotti software derivati dal browser Chromium (progetto “aperto” che viene utilizzato come “base” per lo sviluppo di Google Chrome).
Nel caso di Avastium, Ormandy ha scoperto che un aggressore remoto può essere in grado di leggere l’intero file system del sistema client semplicemente a seguito di un clic su un link malevolo da parte dell’utente.
La prima versione dell’attacco è stata segnalata ad Avast all’inizio di dicembre ed un aggiornamento correttivo è stato appena distribuito.
Secondo Ormandy, invece, Chromodo soffrirebbe di una grave lacuna di sicurezza legata alla disabilitazione della famosa same origin policy.
Chrome e Chromium utilizzano infatti tale approccio, come gli altri browser più famosi: la same origin policy è una regola di cruciale importanza nel caso dei browser web.
Agli elementi che compongono una pagina web (ad esempio il codice JavaScript) viene concessa l’autorizzazione per l’accesso esclusivo alle risorse veicolate dalle pagine dello stesso sito. Non è invece assolutamente permesso l’accesso alle risorse di altri siti, visualizzate ad esempio nelle pagine HTML aperte nelle altre schede del browser.
Quando la same origin policy può essere in qualche modo violata, ad esempio sfruttando una lacuna di sicurezza, vengono ad evidenziarsi vere e proprie voragini sul versante sicurezza.
Stando a quanto dichiarato da Ormandy, nel caso di Chromodo la same origin policy sarebbe stata addirittura disattivata rendendo così possibile la potenziale sottrazione di dati personali dell’utente da parte di pagine web nocive.
Charles Zinkowski, responsabile della comunicazione di Comodo, ha precisato che il problema era dovuto alla presenza di un add-on per il browser che è stato completamente rimosso il 3 febbraio scorso risolvendo il problema.
Ormandy ha poi rilevato un problema anche nella procedura di aggiornamento usata da Malwarebytes.
In questo caso il download degli aggiornamenti non avverrebbe in modo sicuro potenzialmente esponendo gli utenti ad un attacco man-in-the-middle (MITM).
Sebbene le probabilità che ciò accada siano pressoché pari a zero (un aggressore dovrebbe concentrarsi sulla singola macchina da attaccare), il CEO di Malwarebytes – Marcin Kleczynski – ha dichiarato di aver presto molto sul serio la segnalazione e che la sua società si è già messa al lavoro per aggiornare il meccanismo di update nel giro di 3 o 4 settimane.