Kio se mi dirus al vi, ke la sola funkcio de unu el la kontraŭvirusaj programaj komponantoj, kiuj havas fidindan ciferecan subskribon, estas kolekti ĉiujn viajn akreditaĵojn konservitajn en popularaj interretaj retumiloj? Kaj se mi diras, ke ne gravas al tiu, kies interesoj estas kolekti ilin? Vi verŝajne pensos, ke mi deliras. Ni vidu kiel vere estas?
Kompreno
Vivas kaj vivas tia antivirusa kompanio kiel . Produktas diversajn produktojn rilatajn al informa sekureco. Estas eĉ senpagaj produktoj por hejma uzo.
Ni interesiĝu pri la senpaga versio kaj vidu, kion povas fari la produkto de niaj germanaj kolegoj. Ni trarigardas la interfacon - nenio nekutima. Ni ne trovas ajnan mencion pri alia el la produktoj de la kompanio - Avira Password Manager.
Ni rigardu la komponanton kun la nomo, kiu ne altiras atenton "Avira.PWM.NativeMessaging.exe"? Ĝi estas kompilita por la platformo .NET kaj neniel malklariĝas, do ni ŝargas ĝin en dnSpy kaj libere studas la programkodon.
La programo estas konzola programo kaj ĝi atendas komandojn en la norma eniga fluo. Ĉefa funkcio uzante "legi" legas datumojn de la fluo, kontrolas la formaton kaj pasas la komandon al la funkcio "ProcessMessage" La sama, siavice, kontrolas, ke la elsendita komando estas "alporti ChromePasvortojn" aŭ "fetchCredentials" (kvankam kian diferencon faras se la plua konduto estas la sama?) kaj tiam komenciĝas la plej interesa parto - voki la funkcion "RetroviBrowserCredentials" Estas eĉ interese... kion povas fari funkcio kun tiu nomo?
Nenio nekutima, ĝi simple kolektas en unu liston ĉiujn uzantkontojn konservitajn kiam vi laboras kun interretaj retumiloj "Chrome", "Opera" (bazita sur Chromium), "Firefox" kaj "Edge" (bazita sur Chromium) kaj resendas la datumojn kiel JSON objekto.
Nu, tiam ĝi montras la kolektitajn datumojn al la konzolo:
La esenco de la problemo
- La komponanto kolektas uzantajn akreditaĵojn;
- La komponanto ne kontrolas la vokan programon (ekzemple, ĉu ĝi havas ciferecan subskribon de la fabrikanto mem);
- La komponento havas "fidindan" ciferecan subskribon kaj ne levas suspekton inter aliaj kontraŭvirusaj softvarproduktantoj;
- La komponanto funkcias kiel aparta aplikaĵo.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 estis eldonita por ĉi tiu temo.
La 07.04.2020/XNUMX/XNUMX mi sendis leteron pri ĉi tiu problemo al: [retpoŝte protektita] и [retpoŝte protektita] kun plena priskribo. Ne estis respondleteroj, inkluzive de aŭtomataj sistemoj. Monaton poste, la priskribita komponanto ankoraŭ estas distribuita en la Avira Free Antivirus-distribuo.
fonto: www.habr.com