Експерт Google Project Zero Тевіс Орманді ще зовсім недавно розкритикував компанію Comodo за її «захищений» браузер. Тепер дослідник з'ясував, що Comodo здійснює установку VNC-сервера на комп'ютери користувачів, щоб здійснювати віддалену технічну підтримку.
Орманді повідомив, що разом з такими продуктами, як Comodo Antivirus, Comodo Firewall і Comodo Internet Security, поширюється програма GeekBuddy. Її поява була помічено самими користувачами, обратившими увагу на появу якогось VNC-сервера. В результаті Орманді почав своє розслідування.
Інструмент для віддаленого управління робочим столом GeekBuddy використовується співробітниками Comodo для того, щоб надавати технічну підтримку користувачам. Однак, за словами Орманді, на ділі GeekBuddy - це небезпечний бекдор, який можна використовувати для злочинних цілей.
Справа в тому, що перша версія GeekBuddy не запитує ніякого пароля. Для отримання віддаленого доступу до комп'ютера користувача потрібно було лише підібрати правильне поєднання IP: port. Парольний захист присутня в більш нових версіях програми. Але, за словами експерта, даний пароль є ненадійним. Зловмисник може дізнатися його без праці, здійснивши злом даних, що зберігаються в реєстрі Windows.
Як стверджує експерт, до складу пароля входять перші 8 символів SHA1.
Оскільки установка GeekBuddy здійснюється з правами адміністратора, зловмисник, підключившись до комп'ютера через це додаток, повністю захопить контроль над системою.
Орманді оприлюднив простий експлоїт з трьох рядків, за допомогою якого можна отримати SHA1 комп'ютера, і передати перші 8 символів зломщикові.