Computer Security Desenvolvedor do Flight Simulator Combate Pirataria...

Desenvolvedor do Flight Simulator Combate Pirataria Instalando uma Ferramenta que Elimina a Senha

Em outubro, um usuário reclamou que seu programa anti-vírus estava sinalizando um dos arquivos descartados pelo instalador de um complemento para o Flight Simulator da Microsoft.

Reclamação sobre a segurança do Flight Sim - Fonte: Fidus Information Security

O complemento em questão aparentemente oferece aos usuários a chance de pilotar um Airbus A320 no popular simulador, e foi desenvolvido por uma empresa chamada FlightSimLabs (também conhecida como FSLabs). Outro membro do fórum da FSLabs disse ao usuário em questão: "é por isso que recomendamos que você desative o seu AV ao instalar" e garantiu a ele que seu produto de segurança estava apenas dando a ele um falso positivo. Ontem, descobriu-se que não era esse o caso.

Depois que vários outros usuários se queixaram do problema nos últimos dias, os pesquisadores da Fidus Information Security decidiram dar uma olhada mais de perto. Aconteceu que, além de configurar o complemento do Flight Simulator, o instalador da FSLabs também lançou o Chrome Password Dump nas máquinas dos usuários.

O Chrome Password Dump é uma ferramenta gratuita que pode recuperar senhas salvas no Google Chrome. Foi desenvolvido pela SecurityXploded e é supostamente útil para testadores de penetração e investigadores forenses. Embora possa ser usado para fins legítimos, sua funcionalidade de coleta de senha significa que é sinalizado por muitos mecanismos antivírus como malicioso.

Digamos apenas que é questionável se o FSLabs usou o Chrome Password Dump para fins legítimos ou não. Fidus explicou como eles o implementaram.

Após a instalação do complemento, a ferramenta é extraída como test.exe e salva na pasta% temp%. Se executado, o test.exe raspa os nomes de usuário e senhas armazenados pelo Google Chrome e os coloca em um arquivo de texto chamado log.txt. Em seguida, as credenciais de logon são codificadas em Base64 e são enviadas por uma conexão HTTP insegura de volta ao FSLabs.

A história ganhou velocidade rapidamente, e os desenvolvedores de simuladores de vôo perceberam que tinham algumas explicações a dar. Em uma declaração publicada nos fóruns da empresa, Lefteris Kalamaras, fundador da FSLabs, explicou que o Chrome Password Dump foi colocado no instalador para rastrear as pessoas que estavam pirateando os complementos da empresa. Aparentemente, ele e seus colegas encontraram uma versão quebrada do software da FSLabs em sites de torrent e queriam saber quem era o responsável por isso. A ideia era que a ferramenta fosse lançada apenas se o usuário estivesse registrando o produto com um número de série e endereço de e-mail fornecidos pelos crackers. Os que compraram o produto não foram afetados e o instalador foi projetado para excluir o arquivo test.exe, caso um número de série legítimo fosse usado. Os pesquisadores de Fidus confirmaram que isso é realmente verdade.

Portanto, não foi uma campanha aleatória de coleta de senhas. Mesmo assim, o que os FSLabs estavam pensando?

Além do fato de o software de roubo de senha nunca passar despercebido, esse tipo de ferramenta nunca deve ser usado dessa maneira, independentemente de o alvo ser um pirata da Internet ou não. E nem vamos mencionar o problema de retransmitir informações confidenciais por HTTP. O FSLabs admitiu que foi um erro, removeu o Chrome Password Dump de uma versão atualizada do instalador e prometeu que todos que solicitassem um reembolso receberiam seu dinheiro de volta.

Infelizmente, pedir desculpas pode não ser suficiente. Alguns usuários estão compreensivelmente indignados, e é provável que ações legais contra o desenvolvedor do complemento sejam seguidas. A pirataria de software é um grande problema, não se engane, mas os desenvolvedores devem tentar resolvê-la usando apenas métodos éticos, para não mencionar legais. Soltar silenciosamente as ferramentas de slurping de senhas nas máquinas de usuários inocentes não é uma delas.

Carregando...