Falha no Malwarebytes pode permitir ataques do tipo man-in-the-middle.
Como parte do Project Zero, que encontra e divulga falhas em softwares alheios, o Google revelou semana passada que o Anti-Malware, da Malwarebytes, usava uma conexão insegura para ser atualizado (HTTP não criptografado). Isso representa uma potencial ameaça a ataques do tipo man-in-the-middle. Essa prática permite que o invasor se posiciona entre duas partes e intercepte os dados trocados entre ambas, podendo alterar e modificá-los sem que as vítimas percebam.
O pesquisador apenas avaliou a consumer edition da Malwarebyte. No entanto, os erros também afetam o produto premium da empresa.
Marcin Kleczynski, CEO e fundador da Malwarebytes, disse que habilitar a “auto-proteção” nas configurações do software deve mitigar o problema enquanto a equipe responsável trabalha em uma correção adequada.
A Malwarebytes notou recentemente que seu software estava funcionando em cerca de 250 milhões de máquinas em todo o mundo.
Programa de recompensa de bugs da Malwarebytes
Kleczynski pediu desculpas aos usuários pelas falhas e, em resposta aos esforços da Ormandy, lançou um programa de recompensas de bugs, oferecendo até US$ 1.000 para pesquisadores que relatarem falhas em seus produtos.
“Infelizmente, as vulnerabilidades são a dura realidade do desenvolvimento de software”, disse Kleczynski. “Um programa de divulgação de bugs é uma forma de acelerar a descoberta dessas vulnerabilidades e capacitar empresas como a Malwarebytes para corrigi-las”.
A NSA também teve um grande interesse em produtos antivírus não americanos, incluindo Kaspersky, ESET e F-Secure.
Ironias: logo com softwares de segurança?
Esse não é o primeiro software de segurança que, ironicamente, abre brechas para ataques nos computadores onde está instalado. Citando alguns outros, como o AVG, Kaspersky, FireEye, Trend Micro, ESET, Sophos e Comodo já tiveram falhas flagradas pelo projeto do Google.
O link da matéria original pode ser acessado através deste link, com mais informações e detalhes a respeito.
1 comentários SobreFalha no Malwarebytes pode permitir ataques aos usuários
Pingback: Hackear o Chromebook: Google paga US$ 100 mil para quem conseguir | Tiago Souza ()