Casa de ferreiro, espeto de pau e o Google descobriu vulnerabilidades de segurança básicas no Malwarebytes, um dos mais populares programas de detecção e remoção de ameaças… de segurança digital.
A empresa responsável pelo programa foi notificada em Novembro passado pelo Project Zero, time de caçadores de falhas do Google. Sem uma solução para o problema, o Google seguiu o procedimento padrão e divulgou as vulnerabilidades.
Apesar de ter algumas partes censuradas, o relatório descreve as falhas de segurança e métodos de ataque que podem ser empregados para explorá-las. Os pesquisadores do Project Zero detectaram que o Malwarebytes baixa suas atualizações de assinaturas de ameaças digitais através de um conexão não-encriptada. O problema é similar ao encontrado recentemente na ferramenta de atualização de drivers da Intel, que permite que um hacker adultere os dados transmitidos entre o servidor e o cliente.
Esse tipo de ataque conhecido como man-in-the-middle é um método conhecido na indústria e surpreende que os desenvolvedores do Malwarebytes não tenham blindado seu programa contra ele. Marcin Kleczynski, CEO e fundador da empresa, recomenda que os usuários ativem o módulo de autoproteção em Configurações | Configurações Avançadas, disponível apenas nas versões Premium e de avaliação do programa.
Kleczynski pediu desculpas aos cerca de 250 milhões de usuários que tem instalado o Malwarebytes: “Infelizmente, vulnerabilidades são uma dura realidade no desenvolvimento de software”. Ele também anunciou um programa de recompensas, com prêmios de mil dólares para qualquer pesquisador que identifique novas falhas.
Normalmente, o Project Zero oferece um período de 90 dias para os fabricantes corrigirem os problemas detectados, antes de publicar os incidentes. No caso do Malwarebytes, foram oferecidos mais de 20 dias adicionais para que a desenvolvedora se manifestasse. Ainda assim, segundo a empresa, uma correção para as falhas de segurança pode demorar de três a quatro semanas para ser implementada.
