จะเป็นอย่างไรถ้าฉันบอกคุณว่าฟังก์ชันเดียวของส่วนประกอบซอฟต์แวร์ป้องกันไวรัสที่มีลายเซ็นดิจิทัลที่เชื่อถือได้คือการรวบรวมข้อมูลประจำตัวทั้งหมดของคุณที่จัดเก็บไว้ในอินเทอร์เน็ตเบราว์เซอร์ยอดนิยม จะเป็นอย่างไรถ้าฉันบอกว่าการที่จะรวบรวมพวกเขานั้นไม่สำคัญสำหรับเขาล่ะ? คุณคงจะคิดว่าฉันเป็นคนหลงผิด มาดูกันว่าจริง ๆ แล้วเป็นอย่างไร?
ความเข้าใจ
ใช้ชีวิตและใช้ชีวิตเหมือนบริษัทแอนตี้ไวรัส
เรามาสนใจเวอร์ชันฟรีและดูว่าผลิตภัณฑ์ของเพื่อนร่วมงานชาวเยอรมันของเราทำอะไรได้บ้าง เราดูอินเทอร์เฟซ - ไม่มีอะไรผิดปกติ เราไม่พบการกล่าวถึงผลิตภัณฑ์อื่นของบริษัท – Avira Password Manager
มาดูส่วนประกอบที่ชื่อไม่ดึงดูดความสนใจกันดีกว่า”Avira.PWM.NativeMessaging.exe"? มันถูกคอมไพล์สำหรับแพลตฟอร์ม .NET และไม่ได้ทำให้สับสน แต่อย่างใด ดังนั้นเราจึงโหลดมันลงใน dnSpy และศึกษาโค้ดโปรแกรมอย่างอิสระ
โปรแกรมนี้เป็นโปรแกรมคอนโซลและต้องการคำสั่งในสตรีมอินพุตมาตรฐาน ฟังก์ชั่นหลักโดยใช้ "อ่าน" อ่านข้อมูลจากสตรีม ตรวจสอบรูปแบบ และส่งคำสั่งไปยังฟังก์ชัน "กระบวนการข้อความ" ในทางกลับกันให้ตรวจสอบว่าคำสั่งที่ส่งคือ "ดึงรหัสผ่าน Chrome" หรือ "ดึงข้อมูลรับรอง" (แม้ว่าจะสร้างความแตกต่างอะไรขึ้นหากพฤติกรรมต่อไปเหมือนเดิม) จากนั้นส่วนที่น่าสนใจที่สุดก็เริ่มต้นขึ้น - การเรียกใช้ฟังก์ชัน "ดึงข้อมูลประจำตัวเบราว์เซอร์" มันยังน่าสนใจอีกด้วย... ฟังก์ชั่นที่มีชื่อนั้นสามารถทำอะไรได้บ้าง?
ไม่มีอะไรผิดปกติ เพียงรวบรวมบัญชีผู้ใช้ทั้งหมดที่บันทึกไว้เมื่อทำงานกับอินเทอร์เน็ตเบราว์เซอร์ "Chrome", "Opera" (อิงจาก Chromium), "Firefox" และ "Edge" (อิงจาก Chromium) ลงในรายการเดียว และส่งคืนข้อมูลเป็น วัตถุ JSON
ถ้าอย่างนั้นมันจะแสดงข้อมูลที่รวบรวมไปยังคอนโซล:
สาระสำคัญของปัญหา
- ส่วนประกอบรวบรวมข้อมูลประจำตัวผู้ใช้
- ส่วนประกอบไม่ได้ตรวจสอบโปรแกรมการเรียก (เช่น โดยว่ามีลายเซ็นดิจิทัลจากผู้ผลิตเองหรือไม่)
- ส่วนประกอบนี้มีลายเซ็นดิจิทัลที่ "เชื่อถือได้" และไม่สร้างความสงสัยในหมู่ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสรายอื่น
- ส่วนประกอบทำงานเป็นแอปพลิเคชันแยกต่างหาก
ไอโอซี
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680 ได้รับการออกสำหรับปัญหานี้
เมื่อวันที่ 07.04.2020/XNUMX/XNUMX ฉันได้ส่งจดหมายเกี่ยวกับปัญหานี้ไปที่: [ป้องกันอีเมล] и [ป้องกันอีเมล] พร้อมคำอธิบายแบบเต็ม ไม่มีจดหมายตอบกลับรวมทั้งจากระบบอัตโนมัติด้วย หนึ่งเดือนต่อมา ส่วนประกอบที่อธิบายไว้ยังคงเผยแพร่ในการแจกจ่าย Avira Free Antivirus
ที่มา: will.com