Google-onderzoeker vindt grote lekken in wachtwoordmanager Trend Micro

Het onderzoekteam van Google, Google Project Zero, heeft opnieuw een aantal grote lekken aan de kaak gesteld. Tavis Ormandy, lid van het Project Zero-team, ontdekte een aantal grote lekken in de wachtwoordmanager van notabene Trend Micro, een beveiligingsbedrijf.

Een kwaadwillende kan zichzelf toegang verschaffen tot de data van de wachtwoordmanager, inclusief alle opslagen wachtwoorden. Daarnaast was het ook mogelijk om code uit te voeren op het systeem van de gebruiker, waarmee het systeem verder gehackt zou kunnen worden. Dit alles was mogelijk zonder dat de gebruiker hier ook maar iets van zou merken.

Het probleem zit hem in dit geval in het feit dat de wachtwoordmanager in Javascript is geschreven met behulp van Node.JS en dat er een webserver wordt opgezet op de pc van de gebruiker. Deze is eenvoudig via de browser te benaderen en biedt mogelijkheden om wachtwoorden uit te lezen maar ook om code uit te voeren op de pc.

Wat het toch wat pijnlijker maakt is dat het hier gaat om een product van een beveiligingsbedrijf dat standaard op de pc’s van de gebruikers wordt meegeïnstalleerd. Ormany liet verder weten dat hij binnen 30 seconde het lek had gevonden.

Trend Micro heeft inmiddels een patch uitgebracht dat de problemen oplost, maar het laat zien, dat ook beveligingsbedrijven soms niet alert genoeg zijn bij het ontwikkelen van allerlei extra applicaties. Ormandy heeft eerder ook lekken gevonden in software van andere beveiligingsbedrijven, waaronder Eset.