Wat as ik jo fertelde dat de ienige funksje fan ien fan 'e antivirussoftware-komponinten dy't in fertroude digitale hantekening hat is om al jo bewiisbrieven te sammeljen opslein yn populêre ynternetbrowsers? Wat as ik sis dat it him net skele waans belangen it is om se te sammeljen? Jo sille nei alle gedachten tinke dat ik bin waan. Litte wy sjen hoe't it echt is?
Begryp
Libbet en libbet sa'n antyvirusbedriuw as . Produsearret ferskate produkten yn ferbân mei ynformaasje feiligens. D'r binne sels fergese produkten foar thúsgebrûk.
Litte wy ynteressearje yn 'e fergese ferzje en sjen wat it produkt fan ús Dútske kollega's kin dwaan. Wy sjogge oer de ynterface - neat ûngewoan. Wy fine gjin melding fan in oar fan 'e produkten fan it bedriuw - Avira Password Manager.
Litte wy sjen nei it komponint mei de namme dy't gjin oandacht lûkt "Avira.PWM.NativeMessaging.exe"? It is kompilearre foar it .NET-platfoarm en is op gjin inkelde manier obfuscated, dus laden wy it yn dnSpy en studearje de programmakoade frij.
It programma is in konsoleprogramma en it ferwachtet kommando's yn 'e standert ynfierstream. Haadfunksje mei help fan "Lêze"lêst gegevens fan 'e stream, kontrolearret it formaat en jout it kommando troch nei de funksje"ProcessMessage" Itselde kontrolearret op syn beurt dat it oerdroegen kommando "fetchChromePasswords"of"fetchCredentials" (hoewol wat ferskil makket it as it fierdere gedrach itselde is?) en dan begjint it meast nijsgjirrige diel - de funksje neame "RetrieveBrowserCredentials" It is sels nijsgjirrich... wat kin in funksje mei dy namme dwaan?
Neat ûngewoan, it sammelet gewoan yn ien list alle brûkersakkounts opslein by it wurkjen mei ynternetbrowsers "Chromium", "Opera" (basearre op Chromium), "Firefox" en "Edge" (basearre op Chromium) en jout de gegevens werom as in JSON-objekt.
No, dan toant it de sammele gegevens oan 'e konsole:
It essinsje fan it probleem
- De komponint sammelt brûkersbewizen;
- De komponint ferifiearret it opropprogramma net (bygelyks troch oft it in digitale hantekening hat fan 'e fabrikant sels);
- De komponint hat in "fertroude" digitale hantekening en makket gjin fertinking ûnder oare anty-firus software fabrikanten;
- De komponint rint as in aparte applikaasje.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 waard útjûn foar dit probleem.
Op 07.04.2020/XNUMX/XNUMX stjoerde ik in brief oer dit probleem nei: [e-post beskerme] и [e-post beskerme] mei folsleine beskriuwing. D'r wiene gjin antwurdbrieven, ynklusyf fan automatyske systemen. In moanne letter wurdt de beskreaune komponint noch ferspraat yn 'e Avira Free Antivirus-distribúsje.
Boarne: www.habr.com