Google odradza używanie przeglądarki Comodo Chromodo

Comodo jest znaną marką, nawet wśród nie do końca zaawansowanych użytkowników. Firma swoją potęgę zbudowała dzięki wystawianiu certyfikatów bezpieczeństwa, do masowych odbiorców dotarła natomiast za sprawą swojego darmowego pakietu ochronnego Comodo Internet Security. Stał się on właśnie celem specjalisty z grupy Google Project Zero - Tavisa Ormandy’ego, który od kilku miesięcy bezlitośnie odkrywa luki i problemy związane z oprogramowaniem ochronnym. Jego testy wykazały, że przynajmniej część działania pakietu Comodo może szkodzić użytkownikowi. Firma bowiem domyślnie instaluje własną przeglądarkę internetową, która ma być bezpieczna, a która wyłącza jedno z podstawowych zabezpieczeń wykorzystywanych obecnie na witrynach. Comodo zostało już powiadomione o problemie, użytkownikom odradza się natomiast korzystanie z tej przeglądarki.

Przeglądarka Chromodo i Comodo DNS stanowią poważny problem - są instalowane i ustawiane automatycznie.

Przy instalacji pakietu Comodo Internet Security domyślnie automatycznie instalowana jest także przeglądarka Chromodo – jest to klon Chrome, który ma oferować wyższe bezpieczeństwo. Producent wyposażył swoją aplikację w dodatkowy mechanizm sprawdzania certyfikatów, blokowania ciasteczek od witryn śledzących użytkowników, a także moduł chroniący prywatność. Problem polega na tym, że przeglądarka jest instalowana automatycznie. Tak nie powinno być, program można instalować opcjonalnie, jeżeli użytkownik samodzielnie wyrazi taką chęć. Oczywiście instalator umożliwia rezygnację z Chromodo, ale wymaga to przejścia do jego ustawień zaawansowanych, na co nie każdy się przecież zdecyduje.

Po instalacji Chromodo zastępuje Chrome (podmienia wszystkie skróty, linki), wczytuje jego ustawienia, dane sesji, ciasteczka i listę ulubionych stron tj. importuje dane z przeglądarki Google. Oprócz tego instalator podmienia systemowe serwery DNS na te oferowane przez Comodo – również to da się wyłączyć, ale dopiero w ustawieniach zaawansowanych. Największy problem stanowi jednak wyłączenie mechanizmu Same Origin Policy. Odpowiada on za blokowanie modyfikacji jednej strony przez drugą np. przy użyciu ramek i kodu JavaScript. Dzięki SOP możliwe jest sprawdzenie używanego protokołu, hostu i portu. Jeżeli są one w przypadku dwóch witryn odmienne, ewentualne próby modyfikacji zostaną zablokowane. Uniemożliwia to więc wykonywanie na stronach nieautoryzowanych zmian przez skrypty znajdujące się na zupełnie innych serwerach.

Comodo przygotowało poprawkę, ale ta okazała się nieskuteczna.

Nie wiadomo, dlaczego Comodo zdecydowało się wyłączyć SOP – Travis powiadomił o tym twórców, ci usunęli pewien element z API, ale Ormandy zauważył, że obejście takiej „poprawki” jest trywialnie proste i aplikacja wciąż naraża użytkowników na ryzyko. Obecnie najlepiej więc Chromodo omijać szerokim łukiem, podobnie zresztą, jak i inne zmodyfikowane wersje przeglądarek stworzone teoretycznie z myślą o wyższym bezpieczeństwie. Twórcy nie zawsze postępują tak, jak powinni.