谷歌著名安全研究員提供進(jìn)一步證據(jù)證明殺毒軟件有時(shí)也是黑客入侵的渠道。

塔維斯·奧曼迪(Tavis Ormandy)，谷歌信息安全工程師，發(fā)現(xiàn)趨勢(shì)科技?xì)⒍井a(chǎn)品中存在漏洞，可致任意網(wǎng)站執(zhí)行遠(yuǎn)程代碼盜取用戶的所有密碼。趨勢(shì)科技表示，已修復(fù)該漏洞及另一個(gè)遠(yuǎn)程執(zhí)行漏洞。

[[161990]]

本周一趨勢(shì)科技針對(duì)此漏洞回應(yīng)，“根據(jù)我們的標(biāo)準(zhǔn)漏洞響應(yīng)流程，與奧曼迪協(xié)作，確認(rèn)并解決了這個(gè)漏洞?？蛻裟壳翱赏ㄟ^自動(dòng)更新修復(fù)此問題。”

但奧曼迪公開了他與趨勢(shì)官方的來往郵件，隱晦地表達(dá)出他對(duì)該公司行動(dòng)緩慢的不滿。

“這意味著網(wǎng)絡(luò)上的任何人都能完全靜默地偷走你的所有密碼，還能在無需用戶互動(dòng)的情況下執(zhí)行任意代碼。我真心希望你們能清楚問題的嚴(yán)重性，因?yàn)槲易约菏巧钌畋贿@個(gè)嚇到了。”

趨勢(shì)的殺毒產(chǎn)品有個(gè)密碼管理器，用戶可以選擇將密碼導(dǎo)出到這里面。該管理器是用JavaScript寫的，開啟了多個(gè)HTTP遠(yuǎn)程過程調(diào)用端口來處理API請(qǐng)求。奧曼迪在其中輕易地找到了一個(gè)可以接受遠(yuǎn)程代碼的端口，允許訪問存放在該管理器中的密碼的API也被他找到一個(gè)。

奧曼迪總共找到了70多個(gè)暴露在互聯(lián)網(wǎng)上的API。他還沒對(duì)所有找到的API進(jìn)行安全問題調(diào)查，但他建議趨勢(shì)科技聘用外部顧問來審計(jì)這些代碼。

殺毒軟件通常以高權(quán)限運(yùn)行于操作系統(tǒng)之上，意味著其中的漏洞若被利用，黑客將幾乎能對(duì)計(jì)算機(jī)為所欲為。卡巴斯基、ESET、Avast、AVG、英特爾安全(前邁克菲)和Malwarebytes，過去7個(gè)月里，眾多殺毒軟件廠商的產(chǎn)品中檢出了數(shù)十個(gè)嚴(yán)重漏洞。