Trend Micro a pris la décision de supprimer le navigateur de confidentialité de sa suite de sécurité Dr Safety Android après la découverte d'une faille récurrente dans son logiciel.
Tel que rapporté par Le registre, la vulnérabilité, qui pourrait être utilisée à mauvais escient pour faire croire aux utilisateurs que des pages Web malveillantes sont légitimes, a été découverte pour la première fois par le consultant en sécurité Dhiraj Mishra qui l'a signalée de manière responsable à la société en avril.
S'il est exploité par un attaquant, le bogue peut être utilisé pour modifier la barre d'adresse sur les pages consultées dans le navigateur de confidentialité de Trend Micro. Par exemple, un La page de phishing conçue pour voler les informations bancaires des utilisateurs pourrait réécrire la barre d'URL pour afficher le vrai nom de domaine de la banque, par opposition à l'URL utilisée par les attaquants.
Sommaire
Navigateur de confidentialité
Mishra a expliqué que la faille serait assez facile à exploiter et qu'un attaquant aurait de nombreuses cibles parmi lesquelles choisir étant donné sa base d'installation de 10 millions de personnes dans une interview avec Le registre, en disant:
"Pour exploiter ces failles à distance, un attaquant hébergerait un paquet JavaScript malveillant et si un utilisateur visite une page hébergeant ce code malveillant, une nouvelle fenêtre ou un nouvel onglet peut être ouvert avec une fausse URL. Il n'y a aucun moyen de déterminer si l'URL est authentiques ou non, ce qui pourrait entraîner la capture d'informations sensibles telles que les mots de passe de nom d'utilisateur. De plus, avec l'usurpation de la barre d'adresse, les attaquants pourraient également usurper SSL, ce qui rend l'attaque plus difficile à déterminer l'authenticité de l'URL. "
La vulnérabilité, suivie comme CVE-2018-18334, a été confirmée par Trend Micro, bien que la société ait décidé de désactiver le navigateur au lieu de développer un correctif pour la faille. En regardant simplement l'affectation CVE, vous pouvez voir que le bug a été découvert pour la première fois en 2018 et que la société a essayé de le résoudre dans le passé.
En janvier de l'année dernière, Trend Micro a tenté de corriger la vulnérabilité, mais cette année, Mishra a pu identifier plusieurs bogues d'usurpation d'adresse du même type qui n'avaient pas été corrigés dans le logiciel. Cela explique pourquoi Trend Micro a maintenant choisi de désactiver le navigateur de confidentialité tous ensemble dans son application Dr Safety Android.
- Consultez également notre liste complète des meilleurs services VPN
Via le registre