Wat wann ech Iech soen datt déi eenzeg Funktioun vun engem vun den Antivirus Software Komponenten déi eng zouverléisseg digital Ënnerschrëft huet ass all Är Umeldungsinformatiounen ze sammelen déi a populäre Internetbrowser gespäichert sinn? Wat wann ech soen datt et him egal ass, wiem seng Interessen et ass se ze sammelen? Dir wäert wahrscheinlech mengen ech wahnsinn. Loosst eis kucken wéi et wierklech ass?
Verständnis
Liewen a lieft esou eng Antivirus Firma wéi . Produzéiert verschidde Produkter am Zesummenhang mat Informatiounssécherheet. Et gi souguer gratis Produkter fir doheem ze benotzen.
Loosst eis un déi gratis Versioun interesséieren a kucken wat d'Produkt vun eisen däitsche Kollegen ka maachen. Mir kucken iwwer d'Interface - näischt ongewéinlech. Mir fanne keng Ernimmung vun engem anere vun de Produkter vun der Firma - Avira Passwuert Manager.
Loosst eis d'Komponente mam Numm kucken, deen net opmierksam mécht "Avira.PWM.NativeMessaging.exe"? Et ass fir d'.NET Plattform kompiléiert an ass op kee Fall verstoppt, sou datt mir et an dnSpy lueden a gratis de Programmcode studéieren.
De Programm ass e Konsolprogramm an et erwaart Kommandoen am Standard Input Stream. Haaptfunktioun benotzt "Weiderliesen" liest Daten aus dem Stream, kontrolléiert d'Format a passt de Kommando un d'Funktioun"ProcessMessage" Datselwecht kontrolléiert am Tour datt de iwwerdroe Kommando "fetchChromePasswords"oder"fetchCredentials" (obwuel wat en Ënnerscheed mécht wann dat weider Verhalen d'selwecht ass?) an da fänkt de Spaass un - d'Funktioun nennen "RetrieveBrowserCredentials" Et ass souguer interessant ... wat kann eng Funktioun mat deem Numm maachen?
Näischt ongewéinlech, et sammelt einfach all d'Benotzerkonten, déi gespäichert sinn, wann Dir mat den Internetbrowser "Chrome", "Opera" (baséiert op Chromium), "Firefox" an "Edge" (baséiert op Chromium) schafft, a gitt d'Donnéeën zréck als engem JSON Objet.
Gutt, dann weist et déi gesammelten Donnéeën op der Konsol:
D'Essenz vum Problem
- De Komponent sammelt Benotzer Umeldungsinformatiounen;
- De Komponent verifizéiert net den Uruffprogramm (zum Beispill, ob et eng digital Ënnerschrëft vum Hiersteller selwer huet);
- De Komponent huet eng "vertrauenswürdeg" digital Ënnerschrëft a mécht kee Verdacht ënner anerem Antivirus Software Hiersteller;
- De Komponent leeft als separat Applikatioun.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 gouf fir dëst Thema erausginn.
Den 07.04.2020/XNUMX/XNUMX hunn ech e Bréif iwwer dëse Problem geschéckt un: [Email geschützt] и [Email geschützt] mat enger voller Beschreiwung. Et goufe keng Äntwertbréiwer, och vun automatesche Systemer. E Mount méi spéit ass déi beschriwwe Komponent nach ëmmer an der Avira Free Antivirus Verdeelung verdeelt.
Source: will.com