Je, nikikuambia kuwa kazi pekee ya mojawapo ya vipengele vya programu ya antivirus ambayo ina sahihi ya dijiti inayoaminika ni kukusanya stakabadhi zako zote zilizohifadhiwa katika vivinjari maarufu vya Intaneti? Je, nikisema kwamba haijalishi kwake ni maslahi ya nani kuzikusanya? Pengine utafikiri mimi nina udanganyifu. Hebu tuone jinsi ilivyo kweli?
Kuelewa
Anaishi na anaishi kampuni ya antivirus kama
Wacha tupendezwe na toleo la bure na tuone ni nini bidhaa ya wenzetu wa Ujerumani inaweza kufanya. Tunaangalia kiolesura - hakuna kitu cha kawaida. Hatujapata kutajwa kwa bidhaa nyingine ya kampuni - Kidhibiti Nenosiri cha Avira.
Wacha tuangalie sehemu iliyo na jina ambayo haivutii "Avira.PWM.NativeMessaging.exe"? Imetungwa kwa ajili ya jukwaa la NET na haijafichuliwa kwa njia yoyote, kwa hivyo tunaipakia kwenye dnSpy na kujifunza kwa uhuru msimbo wa programu.
Programu ni programu ya kiweko na inatarajia amri katika mkondo wa kawaida wa kuingiza. Kazi kuu kwa kutumia "Kusoma" inasoma data kutoka kwa mkondo, angalia umbizo na kupitisha amri kwa kazi "ProcessMessage" Vile vile, huangalia kuwa amri iliyopitishwa ni "chukuaChromePasswords"au"kuchotaVitambulisho" (ingawa inafanya tofauti gani ikiwa tabia zaidi ni sawa?) na kisha furaha huanza - kuita kazi "RejeshaSifa za Kivinjari" Inapendeza hata... kazi yenye jina hilo inaweza kufanya nini?
Hakuna jambo la kawaida, inakusanya katika orodha moja akaunti zote za mtumiaji zilizohifadhiwa wakati wa kufanya kazi na vivinjari vya Mtandaoni "Chrome", "Opera" (kulingana na Chromium), "Firefox" na "Edge" (kulingana na Chromium) na kurejesha data kama kitu cha JSON.
Kweli, basi inaonyesha data iliyokusanywa kwenye koni:
Kiini cha tatizo
- Sehemu inakusanya hati za mtumiaji;
- Sehemu haithibitishi programu ya kupiga simu (kwa mfano, ikiwa ina saini ya dijiti kutoka kwa mtengenezaji mwenyewe);
- Sehemu hiyo ina saini ya dijiti "inayoaminika" na haitoi shaka kati ya watengenezaji wengine wa programu ya antivirus;
- Sehemu inaendesha kama programu tofauti.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 ilitolewa kwa suala hili.
Mnamo tarehe 07.04.2020/XNUMX/XNUMX nilituma barua kuhusu tatizo hili kwa: [barua pepe inalindwa] ΠΈ [barua pepe inalindwa] na maelezo kamili. Hakukuwa na barua za majibu, ikiwa ni pamoja na kutoka kwa mifumo ya moja kwa moja. Mwezi mmoja baadaye, sehemu iliyoelezwa bado inasambazwa katika usambazaji wa Avira Free Antivirus.
Chanzo: mapenzi.com