Сенімді цифрлық қолтаңбасы бар антивирустық бағдарламалық құрал құрамдастарының бірінің жалғыз функциясы танымал интернет браузерлерінде сақталған барлық тіркелгі деректерін жинау екенін айтсам ше? Егер мен оны жинау кімнің мүддесі үшін маңызды емес десем ше? Сіз мені алдамшы деп ойлайтын шығарсыз. Оның шынымен қалай екенін көрейік?
Түсіну
сияқты антивирустық компания өмір сүреді және өмір сүреді
Тегін нұсқаға қызығушылық танытып, неміс әріптестеріміздің өнімі не істей алатынын көрейік. Біз интерфейсті қарастырамыз - ерекше ештеңе жоқ. Біз компанияның басқа өнімдері - Avira Password Manager туралы ешбір ескерту таппадық.
Назар аудармайтын аты бар құрамдас бөлікті қарастырайық «Avira.PWM.NativeMessaging.exe«? Ол .NET платформасы үшін құрастырылған және ешқандай түсініксіз, сондықтан біз оны dnSpy ішіне жүктейміз және бағдарлама кодын еркін зерттейміз.
Бағдарлама консольдық бағдарлама және ол стандартты енгізу ағынында пәрмендерді күтеді. Негізгі функцияны пайдалануоқу"ағындағы деректерді оқиды, пішімін тексереді және пәрменді функцияға береді"ProcessMessage" Дәл солай, өз кезегінде, жіберілген пәрменнің «fetchChromePasswords«немесе»fetchCredentials"(бірақ әрі қарайғы мінез-құлық бірдей болса, қандай айырмашылық бар?) Содан кейін ең қызықты бөлік басталады - функцияны шақыру "Браузердің тіркелгі деректерін алыңыз" Бұл тіпті қызық... мұндай атаумен функция не істей алады?
Ешқандай ерекше ештеңе жоқ, ол «Chrome», «Opera» (Chromium негізінде), «Firefox» және «Edge» (Chromium негізінде) интернет-браузерлерімен жұмыс істегенде сақталған барлық пайдаланушы тіркелгілерін бір тізімге жинайды және деректерді деректер ретінде қайтарады. JSON нысаны.
Содан кейін ол жиналған деректерді консольге көрсетеді:
Мәселенің мәні
- Құрамдас пайдаланушы тіркелгі деректерін жинайды;
- Компонент шақырушы бағдарламаны тексермейді (мысалы, оның өндірушінің ЭЦҚ бар-жоғы жоқтығы бойынша);
- Құрамдас бөлікте «сенімді» сандық қолтаңба бар және басқа антивирустық бағдарламалық қамтамасыз ету өндірушілерінің арасында күдік тудырмайды;
- Құрамдас бөлек қолданба ретінде жұмыс істейді.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Бұл мәселе үшін CVE-2020-12680 шығарылды.
07.04.2020 жылы мен осы мәселе туралы хат жібердім: [электрондық пошта қорғалған] и [электрондық пошта қорғалған] толық сипаттамасымен. Жауап хаттары, оның ішінде автоматты жүйелерден келген жоқ. Бір айдан кейін сипатталған компонент әлі де Avira Free Antivirus дистрибутивінде таратылады.
Ақпарат көзі: www.habr.com