«غوغل» تكشف ثغرات في تطبيق كلمات سر «تريند مايكرو»

كشف فريق مشروع «غوغل» Project Zero عن نقاط ضعف عدة في تنفيذ التعليمات البرمجية عن بعد موجودة داخل تطبيق مدير كلمات السر password manager الذي تقوم شركة «تريند مايكرو» بتثبيته، بشكل افتراضي، جنباً إلى جنب مع منتجات مكافحة الفيروسات التابع لها.

وقام الباحث الأمني ضمن مشروع Project Zero، ترافيس أورماندي، باكتشاف الثغرات، وتم تصميم أداة إدارة كلمات السر بواسطة «جافا سكريبت» وnode.js.

وأوضح ترافيس ضمن صفحة أبحاث الأمن التابعة لـ«غوغل»، إنه «عند قيام المستخدم بتثبيت برنامج مكافحة الفيروسات الخاص بشركة (تريند مايكرو) على نظام التشغيل (ويندوز) يثبت البرنامج مكوناً إضافياً يسمى إدارة كلمات المرور بشكل افتراضي، ويعمل هذا المكون بشكل تلقائي عند بدء التشغيل». وأضاف أنه «يمكن استغلال هذه الثغرات بشكل عادي، وهي غير قابلة للاكتشاف عند تثبيت الإضافة بشكل افتراضي، ويجب على جميع المستخدمين الحصول على الإصلاح الذي قامت الشركة بإصداره لتلافي المشكلة».

ووجد الباحث الأمني أنه يمكن استغلال هذه الإضافة بشكل سهل والوصول إلى جميع كلمات المرور المخزنة ضمن هذه الإضافة، حتى لو كانت مخزنة بشكل مشفر.

وأشار إلى إمكانية قيام القراصنة باستخدام الدوال البرمجية decryptString لفك تشفير كل السلاسل، ومن ثم يقومون بنشرها في مكان آخر.