Durante la conferenza Black Hat in corso a Las Vegas, Tavis Ormandy, un ricercatore di Google, ha svelato di aver scoperto una grave vulnerabilità nella versione 9.5 dell’antivirus di Sophos. Il sistema di crittografia utilizzato per le firme dei virus può essere facilmente superato, consentendo pertanto ai malware di non essere individuati dal software.
Ormandy, il quale spiega di parlare a titolo personale e di non voler pertanto coinvolgere Google nella polemica, ha voluto dimostrare che spesso i produttori di antivirus sviluppano i loro software in modo tale da individuare il maggior numero di infezioni, ma prestano poca attenzione alla qualità del software stesso. Ecco perché, secondo il ricercatore, un antivirus non dovrebbe essere valutato esclusivamente in base ai virus che è in grado di bloccare. Anzi, se le tecnologie implementate fossero aperte a tutti, si potrebbero scoprire in tempo gli errori di programmazione.
Per avvalorare la sua tesi, Ormandy ha effettuato il reverse engineering e il disassemblaggio del prodotto di Sophos, scoprendo che la software house utilizza un sistema crittografico proprietario a 64 bit, meno sicuro di quello a 256 bit presente in altri antivirus. La chiave per criptare i dati è addirittura memorizzata all’interno di un file, nella stessa posizione in cui sono salvati i dati, consentendo quindi ad un hacker di trovarla in poco tempo.
Un’altra funzionalità implementata in modo troppo superficiale riguarda il sistema che previene l’esecuzione di malware. L’antivirus di Sophos esamina solo una piccola parte del codice, per cui le protezioni possono essere facilmente superate modificando il payload del virus.
Dopo aver letto la ricerca di Ormandy, Sophos ha voluto rassicurare i suoi utenti dichiarando che l’algoritmo di crittografia integrato nell’antivirus è usato in pochi casi ed è in fase di dismissione. Per quanto riguarda le altre vulnerabilità individuate, invece, l’azienda rilascerà al più presto un aggiornamento software.