Эксперт Google Project Zero Тэвис Орманди еще совсем недавно подверг критике компанию Comodo за ее «защищенный» браузер. Теперь исследователь выяснил, что Comodo осуществляет установку VNC-сервера на компьютеры пользователей, чтобы осуществлять удаленную техническую поддержку.
Орманди сообщил, что вместе с такими продуктами, как Comodo Antivirus, Comodo Firewall и Comodo Internet Security, распространяется программа GeekBuddy. Ее появление было замечено самими пользователями, обратившими внимание на появление некоего VNC-сервера. В результате Орманди начал свое расследование.
Инструмент для удаленного управления рабочим столом GeekBuddy используется сотрудниками Comodo для того, чтобы оказывать техническую поддержку пользователям. Однако, по словам Орманди, на деле GeekBuddy – это опасный бэкдор, который можно использовать для преступных целей.
Дело в том, что первая версия GeekBuddy не запрашивала никакого пароля. Для получения удаленного доступа к компьютеру пользователя нужно было лишь подобрать верное сочетание IP:port. Парольная защита присутствует в более новых версиях приложения. Но, по словам эксперта, данный пароль является ненадежным. Злоумышленник может узнать его без труда, осуществив взлом данных, хранящихся в реестре Windows.
Как утверждает эксперт, в состав пароля входят первые 8 символов SHA1.
Поскольку установка GeekBuddy осуществляется с правами администратора, злоумышленник, подключившись к компьютеру через это приложение, полностью захватит контроль над системой.
Орманди обнародовал простой эксплоит из трех строк, с помощью которого можно получить SHA1 компьютера, и передать первые 8 символов взломщику.
Эксперт проинформировал разработчиков Comodo о проблеме еще в январе 2016 года. Недавно специалисты компании устранили ошибку.