Що якщо я Вам скажу, що єдиною функцією одного з компонентів антивірусного ПЗ, що має довірений цифровий підпис, є збирання всіх Ваших облікових даних, збережених у популярних Інтернет-браузерах? А якщо я скажу що йому все одно в чиїх інтересах їх збирати? Напевно подумаєте що я брежу. А давайте подивимося як насправді?
розбираємося
Живе собі та живе така антивірусна компанія як . Випускає різні продукти, пов'язані з інформаційною безпекою. В асортименті є безкоштовні продукти для домашнього використання.
Встановимо собі інтерес заради безкоштовної версії, подивитися що вміє продукт німецьких колег. Пробігаємо поглядом по інтерфейсу – нічого незвичайного. Не знаходимо жодної згадки ще одного з продуктів компанії – Avira Password Manager.
А давайте заглянемо в компонент з іменем, що нічим не привертає увагу.Avira.PWM.NativeMessaging.exe»? Він скомпільований для платформи.
Програма є консольною і вона очікує команд у стандартному потоці введення. Головна функція за допомогою «Читати» зчитує дані з потоку, перевіряє формат та передає команду у функцію «ProcessMessage». Та ж, у свою чергу, перевіряє, що передана команда є "fetchChromePasswords"Або"fetchCredentials" (хоча яка різниця якщо подальша поведінка однакова?) і тоді починається найцікавіше - виклик функції "RetrieveBrowserCredentials». Цікаво навіть… що може виконувати функція з таким ім'ям?
Так нічого незвичайного, просто збирає в один список усі облікові записи користувача, збережені ним під час роботи з Інтернет-браузерами "Chrome", "Opera" (на базі Chromium), "Firefox" та "Edge" (на базі Chromium) і повертає дані у вигляді JSON-об'єкта.
Ну а потім виводить зібрані дані в консоль:
Суть проблеми
- Компонент збирає облікові дані користувача;
- Компонент не верифікує програму, що викликає, (наприклад, за наявності у неї цифрового підпису самого виробника);
- Компонент має «довірений» цифровий підпис і викликає підозру в інших виробників антивірусного ПЗ;
- Компонент працює як окрема програма.
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
З цієї проблеми було заведено CVE-2020-12680.
Про цю проблему мною 07.04.2020 було надіслано листа на адресу [захищено електронною поштою] и [захищено електронною поштою] з повним описом. Листів у відповідь, включаючи від автоматичних систем не надходило. Через місяць описуваний компонент так само поширюється в дистрибутиві Avira Free Antivirus.
Джерело: habr.com