Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties

Beveiligingsonderzoeker Tavis Ormandy van Googles Project Zero-team heeft een kwetsbaarheid in de Chromodo-browser van beveiligingsbedrijf Comodo vastgesteld. Het lek staat toe dat scripts gegevens in andere scripts kunnen uitlezen.

De Chromodo-browser is gebaseerd op Chromium en biedt volgens de makers 'snelheid, veiligheid en privacy'. Volgens Ormandy is dit echter een claim die Comodo niet waar kan maken, omdat de browser verre van veilig zou zijn. Het lek komt volgens Ormandy voort uit het feit dat de browser het 'same origin'-beveiligingsbeleid volledig uitschakelt.

Dit beleid houdt in dat alleen scripts die afkomstig zijn van dezelfde pagina gegevens kunnen uitlezen in andere scripts op de pagina. Zonder dat dit beleid is ingeschakeld zijn de gebruikers kwetsbaar voor allerlei aanvallen, waarbij gegevens kunnen worden onderschept. Ook neemt de browser bij installatie onder andere alle koppelingen en instellingen over uit Chrome en worden dns-instellingen aangepast.

Ormandy laat weten dat Comodo een oplossing heeft aangedragen, die volgens hem het probleem echter niet oplost. Volgens PCWorld zou hij daarom eerder met de kwetsbaarheid naar buiten zijn getreden. De site bericht verder dat Comodo geen commentaar kon leveren. Voor de ontoereikende oplossing heeft Ormandy een nieuw issue aangemaakt.

chromodo ormandyTweet van Ormandy naar aanleiding van het Chromodo-lek

Moderatie-faq Wijzig weergave

Reacties (47)

Alleen dit al "When you install Comodo Internet Security, by default a new browser called Chromodo is installed and set as the default browser. Additionally, all shortcuts are replaced with Chromodo links and all settings, cookies, etc are imported from Chrome. They also hijack DNS settings, among other shady practices." en dan nog beweren dat ze veilig zijn maar wel de same-origin afzetten...

Zelf iemand die niks kent van zulke praktijken zal na een uurtje googlen een script kunnen maken die hier misbruik van maakt.

Dit is gewoon malware, ongewenst browser settings overnemen, links aanpassen, dns aanpassen... Nergens is hier zelf maar toestemming voor gevraagd. Een simpel "import from Chrome" venstertje bij eerste gebruik is nodig ipv dit gewoon te doen zonder toestemming, en zit aub die same origin terug op ! WTF !

[Reactie gewijzigd door boskantman op 3 februari 2016 11:47]

Als die claim waar is, dan kun je toch onmogelijk enig vertrouwen hebben in die "Comodo Internet Security", of eender welke applicatie die van die toko afkomstig is.

Wat ze doen (browser kapen) is dan net zo erg als wat een stukje malware/adware doet.
En dat voor een beveiligingspakket.

Way to go, guys ...
Geavanceerde opties, en dan vinkjes uitzetten tijdens installatie.
Lijkt wel op Incredimail achtige praktijken.
Dit klopt niet.

Ik gebruik al jaren lang het Comodo pakket. De installatie van de Chromodo brower is niets meer dan één van de opties die je krijgt tijdens de installatie.

Ik wil wel eens weten waar je citaat vandaar komt trouwens, want die "hijack DNS settings" is regelrechte onzin. Je krijgt wel een optie om een alternatieve DNS in te schakelen, maar wie doet dat nu?

[Reactie gewijzigd door zipje_en_zopje op 3 februari 2016 13:40]

zie link in het artikel, ik quote gewoon de medewerker van Google. Omdat ik benieuwd ben wat er van waar is , zal ik deze straks ook is installeren.

Daarnaast zeggen jullie dat Chrome dit ook doet, als ik het artikel mag geloven doen zij dit zonder het te vragen. Als ik Chrome installeer krijg ik toch mooi de vraag of ik dit wil.

En zelf al keur je al die rommel goed. Same-origin uitschakelen is zowat het slechtste idee ooit.
Behalve het overnemen van instellingen en cookies en het wijzigen van de DNS doet Chrome eigenlijk exact hetzelfde. Dat zit ook bij verschillende software ingebakken die het ook als standaard browser instelt en alle links naar Chrome doen verwijzen. Sorry hoor, maar wat dat betreft is het een beetje pot-verwijt-de-ketel.
Ik gebruik zelf Comodo Icedragon, je krijgt de vraag of je de DNS servers van comodo wil gebruiken i.p.v. de DNS server van je provider. Is dus gewoon een keus die je maakt.

Zelfde als instellingen overnemen vanuit chrome.

beetje overdrijven wat je doet..
Het lek komt volgens Ormandy voort uit het feit dat de browser het 'same origin'-beveiligingsbeleid volledig uitschakelt.
Waarom doen ze dit :?. Dat is toch om problemen vragen?
Dat is op dit moment onduidelijk. Comodo onthoudt zich van commentaar, hetgeen op zich er erg kwalijk is als het een beveiligingsprobleem aangaat.

Aan de andere kant is tweet van Ormandy ook erg pedant. Op deze manier help je werkelijk niemand en zaai je twijfel of je eigen motieven.

Al met al zou ik bij Chromodo uit de buurt blijven tot ze aantonen dat ze het probleem serieus nemen.
Inderdaad erg pedant. Als Google nu zelf een schone lei had dan zou een dergelijke houding nog kunnen. Het doel van Project Zero is natuurlijk goed maar de ietwat arrogante houding die Google zich aanmeet is wel stuitend.
Zeker die tweet van die gast vind ik afschuwelijk.

Had al het idee, dat dit een beetje concurrentje pikken was (pikken, alsin kippen doen).
Met zo'n kinderachtige melding in die tweet haak ik meteen af.

Geheel terzijde of Comodo lek is.. Voel vaak een soort 'bully' community bij bepaalde developers, die er actief op kicken om een ander onderuit te halen.

Dezelfde mentaliteit bij o.a. thedailywtf.. De heletijd constant pikken op dezelfde personen en zwakke artikelen aandragen, die in de context totaal logisch bleken.
Puur en alleen een blog om af en toe iemand in de zeik te nemen.
Valt wel mee toch?
Hij werkt voor Google maar of het ook Googles standpunt is?
True.. Ik heb het alleen niet zo op developers, die pro-actief andere developer onderuit halen. (of bedrijven met developers).

Bij veel kantoren is het ook echt een constante strijd, terwijl je ook gewoon netjes met elkaar zou kunnen overleggen.
Ik hekel die houding gewoon.. je kan heus kritiek uiten, maar doe het dan respectvol.
Het heel Zero Day project heeft dan ook enkel dat doel. Dus zo raar is dat niet. Ik beweer overigens niet dat het Zero Day project geen goede effecten heeft, maar er is één bedrijf waarvan de bugs angstvallig afwezig zijn in deze database en waarvan bij Google gemelde de bugs niet in opgenomen worden: Google zelf.

Ofwel meldt je een bug in een Google product gaat het niet in Project Zero day, en weten we dus niet 1) of het gemeld is 2) of het gefixt is 3) in welke tijd het gefixt is. Regels voor anderen, uitzonderingen voor jezelf. Toeval? Ik denk van niet ...
Google mag misschien arrogant overkomen maar ze kaarten wel problemen aan.
Ik vind het gebrek aan reactie van de kant van Comodo erg stuitend en arrogant.
Ik lach me rot. Nadat Google vertrok uit China, maar er nog niet geblokkeerd was, redirecte Google al je queries op google.com naar een niet-encrypted google.cn server in China die je vervolgens weer doorstuurde naar een encrypted google.com.hk in Hong Kong. Hierdoor kon de Chinese overheid precies meekijken wie welke query op google.com probeerde uit te voeren.

Als je bij een bedrijf werkt dat zijn gebruikers op dergelijk manier moedwillig verraad hoef je inderdaad niet zo'n grote mond te hebben. (Ik ben ervan overtuigd dat dat geen fout was maar een vorm van "appeasement" naar de Chinese overheid toe. Waarom anders zo'n onnodige redirect naar een speciale server in China?)
Dat is op dit moment onduidelijk. Comodo onthoudt zich van commentaar, hetgeen op zich er erg kwalijk is als het een beveiligingsprobleem aangaat.

Aan de andere kant is tweet van Ormandy ook erg pedant. Op deze manier help je werkelijk niemand en zaai je twijfel of je eigen motieven.

Al met al zou ik bij Chromodo uit de buurt blijven tot ze aantonen dat ze het probleem serieus nemen.
Het kan ook zijn dat Comodo eerst intern wil uitzoeken wat er aan de hand is, voordat ze nu iets roepen en zich vervolgens weer gaan tegenspreken.
Natuurlijk wil Comodo het eerst zelf controleren, maar dat is dan ook precies wat ze moeten communiceren. In dit soort gevallen is niets zeggen nooit goed.
Woordvoerders zijn niet bevoegd om uitspraken te doen die niet van hoger afkomstig zijn. In het artikel staat dat ze "geen direct commentaar" hadden. Kortom, als ik jou als woordvoerder vraag om een reactie, dan kun je natuurlijk in de meeste gevallen niet direct antwoorden en vervolgens publiceer ik het direct.

[Reactie gewijzigd door Blizz op 3 februari 2016 13:12]

De motieven zijn toch wel duidelijk lijkt mij: gebruik Google Chrome.

Google doet namelijk alles om mensen Chrome te laten gebruiken (tot het expres vertragen van Google toepassingen op andere browsers).
Dat kunnen we natuurlijk niet weten tot Comodo er iets over zegt (en we dat ook geloven), maar de tweet suggereert dat ze het per ongeluk doen, omdat ze niet goed genoeg weten waar ze mee bezig zijn.

Dat lijkt mij ook het meest waarschijnlijke, het zou erg vreemd zijn om in een browser bedoeld voor veiligheid, bewust dit stuk beveiliging eruit te slopen.

[Reactie gewijzigd door Lapa op 3 februari 2016 12:22]

Tjah, als je niet oplet krijg je chromodo en geekbuddy 8)7 bij je firewallinstallatie.
Heb het zelf ook even gebruikt en werkt op zich prima maar dat doet elk andere browser ook...

Misschien gaan ze er bij chromodo van uit dat je zelf handmatig scripts whitelist (dmv noscript oid) waardoor cross scripting geen issue hoeft te zijn zolang je zelf het onderscheid maakt en niet zomaar alles toestaat?

Dns instellingen worden aangepast tenzij je het afvinkt naar comodo's eigen dns server maar ik zie niet in waarom google dat slecht vind aangezien ze zelf ook dns servers beheren en privacy vies vinden.
Instellingen overnemen bied ook elk andere browser aan dus de titel had net zo goed "Google maakt concurrent zwart" kunnen zijn.

[Reactie gewijzigd door the-dark-force op 3 februari 2016 11:26]

Heb het zelf ook even gebruikt en werkt op zich prima maar dat doet elk andere browser ook...
Het is maar wat je onder prima werken verstaat. Kun je sites bezoeken, ja dan werkt het. Is het veilig, nee dan werkt het niet.
Dns instellingen worden aangepast tenzij je het afvinkt naar comodo's eigen dns server
Lekker veiligheidslek dan.

Vergeet niet dat DNS lookups unencrypted en unauthenticated verkeer zijn. Iedereen die in het routeringspad van die gegevens zit kan ze onderscheppen en aanpassen. Denk je dat je even naar je favoriete community website gaat, eindig je bij één of andere attack site.
Waarom is de titel van het artikel "chromodo" en de browser die staat vermeld in het artikel "comodo" anders?
De browser heet Chromodo en is van het beveiligingsbedrijf Comodo. Staat in de eerste zin van de eerste alinea.
Chromodo is de browser van beveiligingsbedrijf Comodo. Een play-on-words als het ware (Chromium + Comodo).
Een play-on-words
Woordspeling, in het Nederlands.
Comodo: het bedrijf
Chromodo: hun browser
Comodo is het bedrijf, Chromodo het product (de browser)
Omdat comodo de maker is van chromodo? Zoals ook in het artikel staat.
Chromodo is de op Chromium gebaseerde browser van het beveiligingsbedrijf Comodo.
dus dat moge duidelijk zijn denk ik zomaar 6 man die hetzelfde zegt :D comodo is t bedrijf.. chromodo is de browser
Bij commerciële forks stel ik altijd vragen... Ik had er nog niet van gehoord maar ik kan inkomen dat chromium developers hier niet van gelukkig worden. Als dan nog eens fouten gemaakt worden door de commerciële fork dan is het hek helemaal van de dam natuurlijk.
hoe bedoel je commercieel? Het is nog altijd gratis.
Google heeft gewoon een heel team met hackers en andere experts werken om lekken in andere browsers te vinden om zogenaamd bij te dragen aan de community maar naar mijn idee vooral om de concurrentie zwart te maken. Dit idee wordt versterkt bij het lezen van deze tweet. Eigenlijk zegt het kies voor onze Big Brother Chromium variant, beter bekend als Chrome.
Het lek komt volgens Ormandy voort uit het feit dat de browser het 'same origin'-beveiligingsbeleid volledig uitschakelt. Dit beleid houdt in dat alleen scripts die afkomstig zijn van dezelfde pagina gegevens kunnen uitlezen in andere scripts op de pagina.
Wordt in plaats van 'dezelfde pagina' niet 'hetzelfde domein' bedoeld? Anders zou je niet eens een bestelling bij webshop kunnen doen waarbij je meerdere pagina's moet doorlopen.
Wordt in plaats van 'dezelfde pagina' niet 'hetzelfde domein' bedoeld? Anders zou je niet eens een bestelling bij webshop kunnen doen waarbij je meerdere pagina's moet doorlopen.
Klopt. Dit is wss. gewoon een fout van de auteur van het artikel hier op Tweakers. Gevalletje klok; klepel.
Het is een beetje een kwestie van vertrouwen denk ik. Niet iedereen is helaas een expert in het onderste uit de kan halen wat betreft de in- en uitstroom van internetverkeer. En voor die gebruikers die weten dat Google graag met gegevens strooit en doorverkoopt, zijn oplossingen als Chromodo en IceDragon een overweging waard. Ik gebruik Comodo Internet Security in combinatie met IceDragon (Firefox fork) en ik vind het mooi om te zien hoe dat efficiënt samenwerkt, veronderstellend dat ongewenst verkeer bij de Comodo servers al geblokkeerd kan worden nog voordat het mijn eigen firewall bereikt. Dit in combinatie met Disconnect, AdBlock Plus en het gebruik van DuckDuckGo en een premiumversie van Malwarebytes geeft mij een goed gevoel van veiligheid, tot het moment dat ik besluit over te stappen naar Linux en mij verder ga verdiepen in source code.
Beter is dan om gewoon de kale Chromium te installeren waarin er dus beveiligings-zaken niet uitgeschakeld staan en er geen Google dingen in aanwezig zijn.

Anti virus bedrijven vertrouw ik tegenwoordig net zo weinig. Er zijn al aardig wat artikelen over AV bedrijven die zelf de privacy van de eindgebruiker het meeste schenden door dit soort browsers (en dus bijvoorbeeld beveiliging uitzetten om het tracken beter mogelijk te maken).
Anti virus bedrijven vertrouw ik tegenwoordig net zo weinig. Er zijn al aardig wat artikelen over AV bedrijven die zelf de privacy van de eindgebruiker het meeste schenden door dit soort browsers (en dus bijvoorbeeld beveiliging uitzetten om het tracken beter mogelijk te maken).
Welke AV-bedrijven hebben ook een eigen browser op de markt?
Zo staat AVG op de zwarte lijst bij mij wegens het verzamelen van gebruikersdata van browsen en zoekacties. Hier het hele bericht: nieuws: AVG verzamelt browse- en zoekgeschiedenis klanten en verkoopt die mogelijk door AVG was naast Avast altijd de belangrijkste speler voor een gratis goede AV. Niet meer, je hebt nu Avast en andere partijen.
Net een heel artikel gelezen wat Chromodo fout doet, en toch zonder onderbouwing te geven zeg je dat chromodo de meest geschikte chromium fork is?

Die logica begrijp ik niet.
Het punt is nu net dat je dat niet moet doen, omdat ze een deel van de ingebakken beveiliging uitzetten en wanneer er dan een voorbeeld exploit wordt aangeleverd door de onderzoeker blokkeren ze de werking van de exploit ipv het herstellen van de beveiling.
This is obviously an incorrect fix, and a trivial change makes the vulnerability still exploitable.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True