Google-onderzoeker: 'veilige' Chromodo-browser is onveilig

Beveiligingsonderzoeker Tavis Ormandy van Googles Project Zero-team heeft een kwetsbaarheid in de Chromodo-browser van beveiligingsbedrijf Comodo vastgesteld. Het lek staat toe dat scripts gegevens in andere scripts kunnen uitlezen.

De Chromodo-browser is gebaseerd op Chromium en biedt volgens de makers 'snelheid, veiligheid en privacy'. Volgens Ormandy is dit echter een claim die Comodo niet waar kan maken, omdat de browser verre van veilig zou zijn. Het lek komt volgens Ormandy voort uit het feit dat de browser het 'same origin'-beveiligingsbeleid volledig uitschakelt.

Dit beleid houdt in dat alleen scripts die afkomstig zijn van dezelfde pagina gegevens kunnen uitlezen in andere scripts op de pagina. Zonder dat dit beleid is ingeschakeld zijn de gebruikers kwetsbaar voor allerlei aanvallen, waarbij gegevens kunnen worden onderschept. Ook neemt de browser bij installatie onder andere alle koppelingen en instellingen over uit Chrome en worden dns-instellingen aangepast.

Ormandy laat weten dat Comodo een oplossing heeft aangedragen, die volgens hem het probleem echter niet oplost. Volgens PCWorld zou hij daarom eerder met de kwetsbaarheid naar buiten zijn getreden. De site bericht verder dat Comodo geen commentaar kon leveren. Voor de ontoereikende oplossing heeft Ormandy een nieuw issue aangemaakt.

chromodo ormandyTweet van Ormandy naar aanleiding van het Chromodo-lek

Door Sander van Voorst

Nieuwsredacteur

Feedback • 03-02-2016 10:26 47

03-02-2016 • 10:26

47

Lees meer

Cisco patcht ernstig lek in extensie dat het uitvoeren van code mogelijk maakt
Cisco patcht ernstig lek in extensie dat het uitvoeren van code mogelijk maakt Nieuws van 24 januari 2017
Symantec dicht kwetsbaarheid voor kwaadaardige rar-containers
Symantec dicht kwetsbaarheid voor kwaadaardige rar-containers Nieuws van 21 september 2016
Google-onderzoeker vindt op afstand te gebruiken lek in LastPass - update
Google-onderzoeker vindt op afstand te gebruiken lek in LastPass - update Nieuws van 27 juli 2016
Google maakt programmacode-onderzoekstool BinDiff gratis beschikbaar
Google maakt programmacode-onderzoekstool BinDiff gratis beschikbaar Nieuws van 20 maart 2016
Steam gebruikt verouderde Chromium-browser
Steam gebruikt verouderde Chromium-browser Nieuws van 9 februari 2016
Malwarebytes begint 'Bug Bounty'-programma na vondst kwetsbaarheden
Malwarebytes begint 'Bug Bounty'-programma na vondst kwetsbaarheden Nieuws van 2 februari 2016
Google-onderzoeker ontdekt lekken in wachtwoordmanager van Trend Micro
Google-onderzoeker ontdekt lekken in wachtwoordmanager van Trend Micro Nieuws van 12 januari 2016
Google-onderzoeker stelt lek in Chrome-extensie van AVG vast
Google-onderzoeker stelt lek in Chrome-extensie van AVG vast Nieuws van 29 december 2015
Google-onderzoek legt kritiek lek in ESET-virusscanners bloot
Google-onderzoek legt kritiek lek in ESET-virusscanners bloot Nieuws van 24 juni 2015
Ontwikkelaars maken broncode 'veilige' Chromiumbrowser Aviator openbaar
Ontwikkelaars maken broncode 'veilige' Chromiumbrowser Aviator openbaar Nieuws van 9 januari 2015
'Lek in Ubisofts Uplay-drm kan voor malware misbruikt worden'
'Lek in Ubisofts Uplay-drm kan voor malware misbruikt worden' Nieuws van 30 juli 2012
Onderzoekers geven uit woede Windows-bug vrij
Onderzoekers geven uit woede Windows-bug vrij Nieuws van 7 juli 2010
Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen
Lek in Java maakt Windows-pc's kwetsbaar voor aanvallen Nieuws van 10 april 2010
Microsoft repareert 17 jaar oude bug in Windows
Microsoft repareert 17 jaar oude bug in Windows Nieuws van 6 februari 2010
Microsoft onderzoekt 17 jaar oud Windows-lek en patcht IE
Microsoft onderzoekt 17 jaar oud Windows-lek en patcht IE Nieuws van 21 januari 2010
Meer producten en artikelen
Netwerk en systeembeheer Security

Reacties (47)

-Moderatie-faq
47
46
36
1
0
5
Wijzig sortering

Sorteer op:

Weergave:
boskantman 3 februari 2016 11:47
Alleen dit al "When you install Comodo Internet Security, by default a new browser called Chromodo is installed and set as the default browser. Additionally, all shortcuts are replaced with Chromodo links and all settings, cookies, etc are imported from Chrome. They also hijack DNS settings, among other shady practices." en dan nog beweren dat ze veilig zijn maar wel de same-origin afzetten...

Zelf iemand die niks kent van zulke praktijken zal na een uurtje googlen een script kunnen maken die hier misbruik van maakt.

Dit is gewoon malware, ongewenst browser settings overnemen, links aanpassen, dns aanpassen... Nergens is hier zelf maar toestemming voor gevraagd. Een simpel "import from Chrome" venstertje bij eerste gebruik is nodig ipv dit gewoon te doen zonder toestemming, en zit aub die same origin terug op ! WTF !

[Reactie gewijzigd door boskantman op 24 juli 2024 04:11]

tc-t @boskantman3 februari 2016 12:29
Als die claim waar is, dan kun je toch onmogelijk enig vertrouwen hebben in die "Comodo Internet Security", of eender welke applicatie die van die toko afkomstig is.

Wat ze doen (browser kapen) is dan net zo erg als wat een stukje malware/adware doet.
En dat voor een beveiligingspakket.

Way to go, guys ...
Soldaatje @tc-t3 februari 2016 13:25
Geavanceerde opties, en dan vinkjes uitzetten tijdens installatie.
THA_ErAsEr @tc-t4 februari 2016 09:34
Lijkt wel op Incredimail achtige praktijken.
zipje_en_zopje @boskantman3 februari 2016 13:39
Dit klopt niet.

Ik gebruik al jaren lang het Comodo pakket. De installatie van de Chromodo brower is niets meer dan één van de opties die je krijgt tijdens de installatie.

Ik wil wel eens weten waar je citaat vandaar komt trouwens, want die "hijack DNS settings" is regelrechte onzin. Je krijgt wel een optie om een alternatieve DNS in te schakelen, maar wie doet dat nu?

[Reactie gewijzigd door zipje_en_zopje op 24 juli 2024 04:11]

boskantman @zipje_en_zopje3 februari 2016 14:02
zie link in het artikel, ik quote gewoon de medewerker van Google. Omdat ik benieuwd ben wat er van waar is , zal ik deze straks ook is installeren.

Daarnaast zeggen jullie dat Chrome dit ook doet, als ik het artikel mag geloven doen zij dit zonder het te vragen. Als ik Chrome installeer krijg ik toch mooi de vraag of ik dit wil.

En zelf al keur je al die rommel goed. Same-origin uitschakelen is zowat het slechtste idee ooit.
Loller1 @boskantman3 februari 2016 12:32
Behalve het overnemen van instellingen en cookies en het wijzigen van de DNS doet Chrome eigenlijk exact hetzelfde. Dat zit ook bij verschillende software ingebakken die het ook als standaard browser instelt en alle links naar Chrome doen verwijzen. Sorry hoor, maar wat dat betreft is het een beetje pot-verwijt-de-ketel.
Nopheros @boskantman3 februari 2016 12:51
Ik gebruik zelf Comodo Icedragon, je krijgt de vraag of je de DNS servers van comodo wil gebruiken i.p.v. de DNS server van je provider. Is dus gewoon een keus die je maakt.

Zelfde als instellingen overnemen vanuit chrome.

beetje overdrijven wat je doet..
boe2 3 februari 2016 10:35
Het lek komt volgens Ormandy voort uit het feit dat de browser het 'same origin'-beveiligingsbeleid volledig uitschakelt.
Waarom doen ze dit :?. Dat is toch om problemen vragen?
Verwijderd @boe23 februari 2016 10:47
Dat is op dit moment onduidelijk. Comodo onthoudt zich van commentaar, hetgeen op zich er erg kwalijk is als het een beveiligingsprobleem aangaat.

Aan de andere kant is tweet van Ormandy ook erg pedant. Op deze manier help je werkelijk niemand en zaai je twijfel of je eigen motieven.

Al met al zou ik bij Chromodo uit de buurt blijven tot ze aantonen dat ze het probleem serieus nemen.
Vexxon @Verwijderd3 februari 2016 11:25
Inderdaad erg pedant. Als Google nu zelf een schone lei had dan zou een dergelijke houding nog kunnen. Het doel van Project Zero is natuurlijk goed maar de ietwat arrogante houding die Google zich aanmeet is wel stuitend.
Verwijderd @Vexxon3 februari 2016 12:51
Zeker die tweet van die gast vind ik afschuwelijk.

Had al het idee, dat dit een beetje concurrentje pikken was (pikken, alsin kippen doen).
Met zo'n kinderachtige melding in die tweet haak ik meteen af.

Geheel terzijde of Comodo lek is.. Voel vaak een soort 'bully' community bij bepaalde developers, die er actief op kicken om een ander onderuit te halen.

Dezelfde mentaliteit bij o.a. thedailywtf.. De heletijd constant pikken op dezelfde personen en zwakke artikelen aandragen, die in de context totaal logisch bleken.
Puur en alleen een blog om af en toe iemand in de zeik te nemen.
Soldaatje @Verwijderd3 februari 2016 13:30
Valt wel mee toch?
Hij werkt voor Google maar of het ook Googles standpunt is?
Verwijderd @Soldaatje3 februari 2016 14:39
True.. Ik heb het alleen niet zo op developers, die pro-actief andere developer onderuit halen. (of bedrijven met developers).

Bij veel kantoren is het ook echt een constante strijd, terwijl je ook gewoon netjes met elkaar zou kunnen overleggen.
Ik hekel die houding gewoon.. je kan heus kritiek uiten, maar doe het dan respectvol.
Armin
@Verwijderd3 februari 2016 18:00
Het heel Zero Day project heeft dan ook enkel dat doel. Dus zo raar is dat niet. Ik beweer overigens niet dat het Zero Day project geen goede effecten heeft, maar er is één bedrijf waarvan de bugs angstvallig afwezig zijn in deze database en waarvan bij Google gemelde de bugs niet in opgenomen worden: Google zelf.

Ofwel meldt je een bug in een Google product gaat het niet in Project Zero day, en weten we dus niet 1) of het gemeld is 2) of het gefixt is 3) in welke tijd het gefixt is. Regels voor anderen, uitzonderingen voor jezelf. Toeval? Ik denk van niet ...
Verwijderd @Vexxon3 februari 2016 11:48
Google mag misschien arrogant overkomen maar ze kaarten wel problemen aan.
Ik vind het gebrek aan reactie van de kant van Comodo erg stuitend en arrogant.
Verwijderd @Vexxon3 februari 2016 12:57
Ik lach me rot. Nadat Google vertrok uit China, maar er nog niet geblokkeerd was, redirecte Google al je queries op google.com naar een niet-encrypted google.cn server in China die je vervolgens weer doorstuurde naar een encrypted google.com.hk in Hong Kong. Hierdoor kon de Chinese overheid precies meekijken wie welke query op google.com probeerde uit te voeren.

Als je bij een bedrijf werkt dat zijn gebruikers op dergelijk manier moedwillig verraad hoef je inderdaad niet zo'n grote mond te hebben. (Ik ben ervan overtuigd dat dat geen fout was maar een vorm van "appeasement" naar de Chinese overheid toe. Waarom anders zo'n onnodige redirect naar een speciale server in China?)
Neko Koneko @Verwijderd3 februari 2016 11:22
Dat is op dit moment onduidelijk. Comodo onthoudt zich van commentaar, hetgeen op zich er erg kwalijk is als het een beveiligingsprobleem aangaat.

Aan de andere kant is tweet van Ormandy ook erg pedant. Op deze manier help je werkelijk niemand en zaai je twijfel of je eigen motieven.

Al met al zou ik bij Chromodo uit de buurt blijven tot ze aantonen dat ze het probleem serieus nemen.
Het kan ook zijn dat Comodo eerst intern wil uitzoeken wat er aan de hand is, voordat ze nu iets roepen en zich vervolgens weer gaan tegenspreken.
batavier @Neko Koneko3 februari 2016 11:51
Natuurlijk wil Comodo het eerst zelf controleren, maar dat is dan ook precies wat ze moeten communiceren. In dit soort gevallen is niets zeggen nooit goed.
Blizz @batavier3 februari 2016 13:08
Woordvoerders zijn niet bevoegd om uitspraken te doen die niet van hoger afkomstig zijn. In het artikel staat dat ze "geen direct commentaar" hadden. Kortom, als ik jou als woordvoerder vraag om een reactie, dan kun je natuurlijk in de meeste gevallen niet direct antwoorden en vervolgens publiceer ik het direct.

[Reactie gewijzigd door Blizz op 24 juli 2024 04:11]

catfish @Verwijderd3 februari 2016 11:58
De motieven zijn toch wel duidelijk lijkt mij: gebruik Google Chrome.

Google doet namelijk alles om mensen Chrome te laten gebruiken (tot het expres vertragen van Google toepassingen op andere browsers).
Verwijderd @catfish3 februari 2016 12:50
[Citation needed]
Lapa @boe23 februari 2016 12:21
Dat kunnen we natuurlijk niet weten tot Comodo er iets over zegt (en we dat ook geloven), maar de tweet suggereert dat ze het per ongeluk doen, omdat ze niet goed genoeg weten waar ze mee bezig zijn.

Dat lijkt mij ook het meest waarschijnlijke, het zou erg vreemd zijn om in een browser bedoeld voor veiligheid, bewust dit stuk beveiliging eruit te slopen.

[Reactie gewijzigd door Lapa op 24 juli 2024 04:11]

the-dark-force 3 februari 2016 11:21
Tjah, als je niet oplet krijg je chromodo en geekbuddy 8)7 bij je firewallinstallatie.
Heb het zelf ook even gebruikt en werkt op zich prima maar dat doet elk andere browser ook...

Misschien gaan ze er bij chromodo van uit dat je zelf handmatig scripts whitelist (dmv noscript oid) waardoor cross scripting geen issue hoeft te zijn zolang je zelf het onderscheid maakt en niet zomaar alles toestaat?

Dns instellingen worden aangepast tenzij je het afvinkt naar comodo's eigen dns server maar ik zie niet in waarom google dat slecht vind aangezien ze zelf ook dns servers beheren en privacy vies vinden.
Instellingen overnemen bied ook elk andere browser aan dus de titel had net zo goed "Google maakt concurrent zwart" kunnen zijn.

[Reactie gewijzigd door the-dark-force op 24 juli 2024 04:11]

Verwijderd @the-dark-force3 februari 2016 11:50
Heb het zelf ook even gebruikt en werkt op zich prima maar dat doet elk andere browser ook...
Het is maar wat je onder prima werken verstaat. Kun je sites bezoeken, ja dan werkt het. Is het veilig, nee dan werkt het niet.
R4gnax @the-dark-force3 februari 2016 20:56
Dns instellingen worden aangepast tenzij je het afvinkt naar comodo's eigen dns server
Lekker veiligheidslek dan.

Vergeet niet dat DNS lookups unencrypted en unauthenticated verkeer zijn. Iedereen die in het routeringspad van die gegevens zit kan ze onderscheppen en aanpassen. Denk je dat je even naar je favoriete community website gaat, eindig je bij één of andere attack site.
Vinic00kie 3 februari 2016 10:29
Waarom is de titel van het artikel "chromodo" en de browser die staat vermeld in het artikel "comodo" anders?
dare92 @Vinic00kie3 februari 2016 10:31
De browser heet Chromodo en is van het beveiligingsbedrijf Comodo. Staat in de eerste zin van de eerste alinea.
AppliArt @Vinic00kie3 februari 2016 10:31
Chromodo is de browser van beveiligingsbedrijf Comodo. Een play-on-words als het ware (Chromium + Comodo).
Aham brahmasmi @AppliArt3 februari 2016 13:40
Een play-on-words
Woordspeling, in het Nederlands.
witchdoc @Vinic00kie3 februari 2016 10:32
Comodo: het bedrijf
Chromodo: hun browser
Rexel @Vinic00kie3 februari 2016 10:33
Comodo is het bedrijf, Chromodo het product (de browser)
garriej @Vinic00kie3 februari 2016 10:33
Omdat comodo de maker is van chromodo? Zoals ook in het artikel staat.
Stoelpoot @Vinic00kie3 februari 2016 10:34
Chromodo is de op Chromium gebaseerde browser van het beveiligingsbedrijf Comodo.
Verwijderd @Vinic00kie3 februari 2016 10:52
dus dat moge duidelijk zijn denk ik zomaar 6 man die hetzelfde zegt :D comodo is t bedrijf.. chromodo is de browser
svennd 3 februari 2016 11:07
Bij commerciële forks stel ik altijd vragen... Ik had er nog niet van gehoord maar ik kan inkomen dat chromium developers hier niet van gelukkig worden. Als dan nog eens fouten gemaakt worden door de commerciële fork dan is het hek helemaal van de dam natuurlijk.
vSchooten @svennd3 februari 2016 16:53
hoe bedoel je commercieel? Het is nog altijd gratis.
Verwijderd 3 februari 2016 12:28
Google heeft gewoon een heel team met hackers en andere experts werken om lekken in andere browsers te vinden om zogenaamd bij te dragen aan de community maar naar mijn idee vooral om de concurrentie zwart te maken. Dit idee wordt versterkt bij het lezen van deze tweet. Eigenlijk zegt het kies voor onze Big Brother Chromium variant, beter bekend als Chrome.
Kalief 3 februari 2016 13:52
Het lek komt volgens Ormandy voort uit het feit dat de browser het 'same origin'-beveiligingsbeleid volledig uitschakelt. Dit beleid houdt in dat alleen scripts die afkomstig zijn van dezelfde pagina gegevens kunnen uitlezen in andere scripts op de pagina.
Wordt in plaats van 'dezelfde pagina' niet 'hetzelfde domein' bedoeld? Anders zou je niet eens een bestelling bij webshop kunnen doen waarbij je meerdere pagina's moet doorlopen.
R4gnax @Kalief3 februari 2016 21:01
Wordt in plaats van 'dezelfde pagina' niet 'hetzelfde domein' bedoeld? Anders zou je niet eens een bestelling bij webshop kunnen doen waarbij je meerdere pagina's moet doorlopen.
Klopt. Dit is wss. gewoon een fout van de auteur van het artikel hier op Tweakers. Gevalletje klok; klepel.
Endurance 4 februari 2016 01:22
Het is een beetje een kwestie van vertrouwen denk ik. Niet iedereen is helaas een expert in het onderste uit de kan halen wat betreft de in- en uitstroom van internetverkeer. En voor die gebruikers die weten dat Google graag met gegevens strooit en doorverkoopt, zijn oplossingen als Chromodo en IceDragon een overweging waard. Ik gebruik Comodo Internet Security in combinatie met IceDragon (Firefox fork) en ik vind het mooi om te zien hoe dat efficiënt samenwerkt, veronderstellend dat ongewenst verkeer bij de Comodo servers al geblokkeerd kan worden nog voordat het mijn eigen firewall bereikt. Dit in combinatie met Disconnect, AdBlock Plus en het gebruik van DuckDuckGo en een premiumversie van Malwarebytes geeft mij een goed gevoel van veiligheid, tot het moment dat ik besluit over te stappen naar Linux en mij verder ga verdiepen in source code.
Yamotek @Verwijderd3 februari 2016 10:44
Beter is dan om gewoon de kale Chromium te installeren waarin er dus beveiligings-zaken niet uitgeschakeld staan en er geen Google dingen in aanwezig zijn.

Anti virus bedrijven vertrouw ik tegenwoordig net zo weinig. Er zijn al aardig wat artikelen over AV bedrijven die zelf de privacy van de eindgebruiker het meeste schenden door dit soort browsers (en dus bijvoorbeeld beveiliging uitzetten om het tracken beter mogelijk te maken).
Verwijderd @Yamotek3 februari 2016 11:46
Anti virus bedrijven vertrouw ik tegenwoordig net zo weinig. Er zijn al aardig wat artikelen over AV bedrijven die zelf de privacy van de eindgebruiker het meeste schenden door dit soort browsers (en dus bijvoorbeeld beveiliging uitzetten om het tracken beter mogelijk te maken).
Welke AV-bedrijven hebben ook een eigen browser op de markt?
Verwijderd @Yamotek3 februari 2016 12:31
Zo staat AVG op de zwarte lijst bij mij wegens het verzamelen van gebruikersdata van browsen en zoekacties. Hier het hele bericht: nieuws: AVG verzamelt browse- en zoekgeschiedenis klanten en verkoopt die mogelijk door AVG was naast Avast altijd de belangrijkste speler voor een gratis goede AV. Niet meer, je hebt nu Avast en andere partijen.
jaapzb @Verwijderd3 februari 2016 10:39
Net een heel artikel gelezen wat Chromodo fout doet, en toch zonder onderbouwing te geven zeg je dat chromodo de meest geschikte chromium fork is?

Die logica begrijp ik niet.
phYzar @Verwijderd3 februari 2016 10:39
Het punt is nu net dat je dat niet moet doen, omdat ze een deel van de ingebakken beveiliging uitzetten en wanneer er dan een voorbeeld exploit wordt aangeleverd door de onderzoeker blokkeren ze de werking van de exploit ipv het herstellen van de beveiling.
This is obviously an incorrect fix, and a trivial change makes the vulnerability still exploitable.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq