Ишенимдүү санарип кол тамгасы бар антивирустук программалык камсыздоонун компоненттеринин биринин гана милдети популярдуу интернет браузерлерде сакталган бардык эсептик маалыматтарыңызды чогултуу экенин айтсамчы? Аларды чогултуу кимдин кызыкчылыгы үчүн ага маанилүү эмес десемчи? Мени адашкан деп ойлошуңар мүмкүн. Келгиле, чындап эле кандай экенин карап көрөлү?
Түшүнүү
сыяктуу антивирустук компания жашайт жана жашайт
Келгиле, бекер версияга кызыгып, немис кесиптештерибиздин продуктусу эмне кыла аларын карап көрөлү. Биз интерфейсти карап чыгабыз - адаттан тыш эч нерсе жок. Биз компаниянын башка продуктылары жөнүндө эч кандай сөз таба алган жокпуз - Avira Password Manager.
Көңүл бурбаган аталышы бар компонентти карап көрөлү "Avira.PWM.NativeMessaging.exe"? Ал .NET платформасы үчүн түзүлгөн жана эч кандай түшүнүксүз, ошондуктан биз аны dnSpyге жүктөйбүз жана программанын кодун эркин изилдейбиз.
Программа консолдук программа жана стандарттык киргизүү агымында буйруктарды күтөт. Негизги функция "колдонууокуу" агымдан маалыматтарды окуйт, форматты текшерет жана буйрукту функцияга өткөрүп берет "ProcessMessage" Ошол эле, өз кезегинде, берилген буйрук экенин текшерет "fetchChromePasswords"же"fetchCredentials"(Бирок андан аркы жүрүм-турум бирдей болсо, кандай айырмасы бар?) Анан эң кызыктуу бөлүгү башталат - функцияны чакыруу "RetrieveBrowserCredentials" Ал тургай, кызыктуу ... бул аталыштагы функция эмне кыла алат?
Адаттагыдай эч нерсе жок, ал жөн гана "Chrome", "Opera" (Chromium'дун негизинде), "Firefox" жана "Edge" (Chromium негизинде) интернет браузерлери менен иштөөдө сакталган бардык колдонуучу эсептерди бир тизмеге чогултат жана маалыматтарды бир тизмеге кайтарат. JSON объекти.
Анда ал чогултулган маалыматтарды консолго көрсөтөт:
маселенин өзөгү
- Компонент колдонуучунун эсептик дайындарын чогултат;
- Компонент чакыруучу программаны текшербейт (мисалы, анын өндүрүүчүнүн өзүнөн санариптик кол тамгасы бар же жок экендиги боюнча);
- Компоненттин "ишенимдүү" санарип кол тамгасы бар жана башка антивирустук программалык камсыздоону өндүрүүчүлөрдүн арасында шек жаратпайт;
- Компонент өзүнчө тиркеме катары иштейт.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
Бул маселе үчүн CVE-2020-12680 чыгарылган.
07.04.2020 Мен бул көйгөй боюнча кат жөнөттүм: [электрондук почта корголгон] и [электрондук почта корголгон] толук сүрөттөлүшү менен. Жооп каттары, анын ичинде автоматтык системалардан келген жок. Бир ай өткөндөн кийин, сүрөттөлгөн компонент дагы эле Avira Free Antivirus дистрибьютеринде таратылат.
Source: www.habr.com