(更新)趨勢密碼管理出漏洞,讓你的密碼一覽無遺

評論
評論

1/15 更新:趨勢科技已經已經發布了緊急修補軟體,以防止駭客遙控你的電腦或透過防毒軟體內建的密碼管理軟體存取用戶密碼。他們詳盡的修復過程與說明如下:

密碼管理通是趨勢科技的產品之一,趨勢科技 PC-cillin 也內建密碼管理通的功能選項,但用戶必須「手動」啟用才能夠使用此功能,因此並非每個用戶都會受到影響。

趨勢科技透過產品通報標準程序一知悉 Google Project Zero 小組的研究人員 Tavis Ormandy 回報了有關趨勢科技消費型產品「密碼管理通」的潛在弱點後,趨勢科技立即進行了解與處理,釋出修補程式用以修正此弱點並進行伺服器更新;並於 2016 年 1 月 11 日自動推送給所有趨勢科技密碼管理通客戶。也就是 1 月 11 日當客戶收到通知時,使用者的電腦連網後密碼管理通就開始自動更新。此外,目前也與 Tavis 配合,針對安全建議持續強化產品的安全設計。

趨勢科技密碼管理通採用自行簽署的安全憑證,其主要目的是為確保產品服務和瀏覽器之間溝通的安全性和便利性;不僅如此,為了更提升安全性,密碼管理通內儲存的密碼和關鍵資料,更經過 AES-256 機制進行嚴格加密,避免密碼資料外洩的可能性。而趨勢科技也持續不斷加強提升產品的安全性

 

如果你在電腦上安裝了趨勢科技的密碼管理通,請注意,你的電腦只要瀏覽網頁,就可能感染惡意軟體或被遠端操控。

用網頁就能駭進你的電腦

Google 的 Project Zero 安全研究員 Tavis Ormandy 發現 ,在趨勢防毒套裝內的密碼管理程式有瑕疵,能讓駭客遙控並輕易竊取你的密碼。

技術上來說,在防毒軟體套裝中的密碼管理程式,每次開啟時會先在本地電腦建立 Node.js 伺服器,Ormandy 發現 Node.js 伺服器留下了一堆 HTTP PRC 匣道,用來處理外部的 API 請求,而且在 http://localhost:49155/api/ 就找得到。駭客可以製作惡意連結,讓用戶點了以後就能在控制你的電腦,不用再另外經過用戶同意。

根據 The Hacker News 報導,在你不知情的時候,攻擊者能在你的電腦上遠端載入並執行惡意程式碼。

除此之外,Ormandy 還發現這個帳號管理程式透過同一個 Node.js 伺服器,曝露了超過 70 個 API。

趨勢使用自己簽署的 SSL 憑證

另外,和聯想的 Superfish 以及戴爾的 eDellRoot 一樣,趨勢也加入了自行簽署的安全憑證,好讓用戶不會看見 HTTPS 錯誤訊息。

Ormandy 表示,「這太離譜了。」

Ormandy 已將問題回報給趨勢團隊,並協助他們建立修補程式,建議趨勢防毒軟體的使用者儘速更新。

 

歡迎加入「Inside」Line 官方帳號,關注最新創業、科技、網路、工作訊息

好友人數

精選熱門好工作

樂趣買Web Designer(Rakuma)

台灣樂天市場
臺北市.台灣

獎勵 NT$20,000

Backend 工程師

Omlet Arcade 美商歐姆雷特
臺北市.台灣

獎勵 NT$20,000

行銷企劃主管

安力國際開發股份有限公司
臺北市.台灣

獎勵 NT$20,000

評論