โปรโฮสต์ > บล็อก > การบริหาร > ตัวขโมยรหัสผ่านในซอฟต์แวร์ป้องกันไวรัส Avira Free Antivirus

ตัวขโมยรหัสผ่านในซอฟต์แวร์ป้องกันไวรัส Avira Free Antivirus

จะเป็นอย่างไรถ้าฉันบอกคุณว่าฟังก์ชันเดียวของส่วนประกอบซอฟต์แวร์ป้องกันไวรัสที่มีลายเซ็นดิจิทัลที่เชื่อถือได้คือการรวบรวมข้อมูลประจำตัวทั้งหมดของคุณที่จัดเก็บไว้ในอินเทอร์เน็ตเบราว์เซอร์ยอดนิยม จะเป็นอย่างไรถ้าฉันบอกว่าการที่จะรวบรวมพวกเขานั้นไม่สำคัญสำหรับเขาล่ะ? คุณคงจะคิดว่าฉันเป็นคนหลงผิด มาดูกันว่าจริง ๆ แล้วเป็นอย่างไร?

ความเข้าใจ

ใช้ชีวิตและใช้ชีวิตเหมือนบริษัทแอนตี้ไวรัส Avira GmbH & Co. กิโลกรัม. ผลิตผลิตภัณฑ์ต่าง ๆ ที่เกี่ยวข้องกับความปลอดภัยของข้อมูล มีผลิตภัณฑ์ฟรีสำหรับใช้ในบ้านด้วย

เรามาสนใจเวอร์ชันฟรีและดูว่าผลิตภัณฑ์ของเพื่อนร่วมงานชาวเยอรมันของเราทำอะไรได้บ้าง เราดูอินเทอร์เฟซ - ไม่มีอะไรผิดปกติ เราไม่พบการกล่าวถึงผลิตภัณฑ์อื่นของบริษัท – Avira Password Manager

มาดูส่วนประกอบที่ชื่อไม่ดึงดูดความสนใจกันดีกว่า”Avira.PWM.NativeMessaging.exe"? มันถูกคอมไพล์สำหรับแพลตฟอร์ม .NET และไม่ได้ทำให้สับสน แต่อย่างใด ดังนั้นเราจึงโหลดมันลงใน dnSpy และศึกษาโค้ดโปรแกรมอย่างอิสระ

โปรแกรมนี้เป็นโปรแกรมคอนโซลและต้องการคำสั่งในสตรีมอินพุตมาตรฐาน ฟังก์ชั่นหลักโดยใช้ "อ่าน" อ่านข้อมูลจากสตรีม ตรวจสอบรูปแบบ และส่งคำสั่งไปยังฟังก์ชัน "กระบวนการข้อความ" ในทางกลับกันให้ตรวจสอบว่าคำสั่งที่ส่งคือ "ดึงรหัสผ่าน Chrome" หรือ "ดึงข้อมูลรับรอง" (แม้ว่าจะสร้างความแตกต่างอะไรขึ้นหากพฤติกรรมต่อไปเหมือนเดิม) จากนั้นส่วนที่น่าสนใจที่สุดก็เริ่มต้นขึ้น - การเรียกใช้ฟังก์ชัน "ดึงข้อมูลประจำตัวเบราว์เซอร์" มันยังน่าสนใจอีกด้วย... ฟังก์ชั่นที่มีชื่อนั้นสามารถทำอะไรได้บ้าง?

ตัวขโมยรหัสผ่านในซอฟต์แวร์ป้องกันไวรัส Avira Free Antivirus

ไม่มีอะไรผิดปกติ เพียงรวบรวมบัญชีผู้ใช้ทั้งหมดที่บันทึกไว้เมื่อทำงานกับอินเทอร์เน็ตเบราว์เซอร์ "Chrome", "Opera" (อิงจาก Chromium), "Firefox" และ "Edge" (อิงจาก Chromium) ลงในรายการเดียว และส่งคืนข้อมูลเป็น วัตถุ JSON

ตัวขโมยรหัสผ่านในซอฟต์แวร์ป้องกันไวรัส Avira Free Antivirus

ถ้าอย่างนั้นมันจะแสดงข้อมูลที่รวบรวมไปยังคอนโซล:

ตัวขโมยรหัสผ่านในซอฟต์แวร์ป้องกันไวรัส Avira Free Antivirus

สาระสำคัญของปัญหา

  • ส่วนประกอบรวบรวมข้อมูลประจำตัวผู้ใช้
  • ส่วนประกอบไม่ได้ตรวจสอบโปรแกรมการเรียก (เช่น โดยว่ามีลายเซ็นดิจิทัลจากผู้ผลิตเองหรือไม่)
  • ส่วนประกอบนี้มีลายเซ็นดิจิทัลที่ "เชื่อถือได้" และไม่สร้างความสงสัยในหมู่ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสรายอื่น
  • ส่วนประกอบทำงานเป็นแอปพลิเคชันแยกต่างหาก

ไอโอซี

SHA1: 13c95241e671b98342dba51741fd02621768ecd5.

CVE-2020-12680 ได้รับการออกสำหรับปัญหานี้

เมื่อวันที่ 07.04.2020/XNUMX/XNUMX ฉันได้ส่งจดหมายเกี่ยวกับปัญหานี้ไปที่: [ป้องกันอีเมล] и [ป้องกันอีเมล] พร้อมคำอธิบายแบบเต็ม ไม่มีจดหมายตอบกลับรวมทั้งจากระบบอัตโนมัติด้วย หนึ่งเดือนต่อมา ส่วนประกอบที่อธิบายไว้ยังคงเผยแพร่ในการแจกจ่าย Avira Free Antivirus

ที่มา: will.com

เพิ่มความคิดเห็น