Een onderzoeker van Google publiceert binnenkort een kritiek lek in TrueCrypt. Daarmee kunnen aanvallers een exploit maken, waardoor aanvallers de rechten van beheerders kunnen krijgen op de pc. Er komt geen patch voor het versleutelingsprogramma.
De onderzoeker zegt op Twitter dat hij zeven dagen wacht nadat een ontwikkelaar een patch heeft uitgebracht om details naar buiten te brengen, om zo de kans op een exploit van het lek te verminderen. Omdat fork VeraCrypt de patch afgelopen zaterdag uitbracht, zet hij de details vermoedelijk komend weekeinde online. Gebruikers van TrueCrypt kunnen zich niet beschermen tegen een exploit van het lek, omdat de ontwikkelaars enige tijd geleden zijn gestopt met het updaten van TrueCrypt.
Het kritieke lek zit samen met een ander, minder kritiek lek in de driver die TrueCrypt en VeraCrypt installeren op Windows-machines, meldt ITWorld. Door het lek kan een aanvaller meer beheerrechten krijgen op een account die dat van zichzelf niet heeft. Het lek maakt gebruik van de toewijzing van letters aan schijven.
Het lijkt erop dat het lek niets van doen heeft met al versleutelde schijven. Wel is het met admin-rechten mogelijk om andere software te installeren die ervoor zorgt dat nieuwe data niet meer wordt versleuteld.
TrueCrypt zal niet meer worden bijgewerkt. De ontwikkelaars, die nog altijd anoniem zijn, waarschuwden anderhalf jaar geleden om de software niet meer te gebruiken en kondigden aan om te stoppen met het gebruiken van het programma, waarmee gebruikers delen van de harde schijf op Windows-pc's kunnen versleutelen. Sindsdien zijn er diverse audits geweest om te zoeken naar eventuele achterdeurtjes in de software, maar die leverden niets op.
VeraCrypt is de officieuze opvolger van TrueCrypt en heeft het lek inmiddels wel gedicht. De ontwikkelaars van dat programma brengen wel geregeld updates met fixes uit. De lekken die de Google-onderzoeker vond, zullen online verschijnen als CVE-2015-7358 en CVE-2015-7359.