ایڈ بلاک پلس کے خالق ولادیمیر پیلنٹ، () Chromium انجن پر مبنی خصوصی Safepay ویب براؤزر میں، Bitdefender Total Security 2020 antivirus پیکیج کے حصے کے طور پر پیش کیا گیا ہے اور اس کا مقصد عالمی نیٹ ورک پر صارف کے کام کی حفاظت کو بڑھانا ہے (مثال کے طور پر، بینکوں تک رسائی کے دوران اضافی تنہائی فراہم کی جاتی ہے اور ادائیگی کے نظام)۔ کمزوری براؤزر میں کھولی گئی ویب سائٹس کو آپریٹنگ سسٹم کی سطح پر صوابدیدی کوڈ پر عمل کرنے کی اجازت دیتی ہے۔
مسئلہ کی وجہ یہ ہے کہ Bitdefender اینٹی وائرس سائٹ کے اصل TLS سرٹیفکیٹ کو تبدیل کرکے HTTPS ٹریفک کے مقامی مداخلت کو انجام دیتا ہے۔ کلائنٹ کے سسٹم پر ایک اضافی روٹ سرٹیفکیٹ نصب کیا گیا ہے، جو استعمال شدہ ٹریفک معائنہ کے نظام کے آپریشن کو چھپانا ممکن بناتا ہے۔ اینٹی وائرس خود کو محفوظ ٹریفک میں جوڑتا ہے اور محفوظ تلاش کے فنکشن کو لاگو کرنے کے لیے کچھ صفحات میں اپنا جاوا اسکرپٹ کوڈ داخل کرتا ہے، اور محفوظ کنکشن سرٹیفکیٹ میں دشواری کی صورت میں، یہ واپس کیے گئے ایرر پیج کو اپنے سے بدل دیتا ہے۔ چونکہ نیا ایرر صفحہ کھولے جانے والے سرور کی جانب سے پیش کیا جاتا ہے، اس لیے اس سرور پر موجود دیگر صفحات کو Bitdefender کے داخل کردہ مواد تک مکمل رسائی حاصل ہے۔
حملہ آور کے زیر کنٹرول سائٹ کو کھولتے وقت، وہ سائٹ ایک XMLHttpRequest بھیج سکتی ہے اور جواب دیتے وقت HTTPS سرٹیفکیٹ کے ساتھ مسائل پیش کر سکتی ہے، جس کی وجہ سے Bitdefender کے ذریعے جعلی صفحہ کی واپسی ہو جائے گی۔ چونکہ غلطی کا صفحہ حملہ آور کے ڈومین کے تناظر میں کھولا گیا ہے، اس لیے وہ Bitdefender پیرامیٹرز کے ساتھ جعل سازی والے صفحہ کے مواد کو پڑھ سکتا ہے۔ Bitdefender کی طرف سے فراہم کردہ صفحہ میں ایک سیشن کلید بھی شامل ہے جو آپ کو ایک علیحدہ Safepay براؤزر سیشن شروع کرنے کے لیے اندرونی Bitdefender API استعمال کرنے کی اجازت دیتی ہے، صوابدیدی کمانڈ لائن جھنڈوں کی وضاحت کرتے ہوئے، اور "-utility-cmd-prefix" کا استعمال کرتے ہوئے کسی بھی سسٹم کمانڈ کو لانچ کرنے کے لیے۔ پرچم استحصال کی ایک مثال (param1 اور param2 غلطی والے صفحہ سے حاصل کردہ اقدار ہیں):
var درخواست = نئی XMLHttpRequest()؛
request.open("POST", Math.random());
request.setRequestHeader("مواد کی قسم"، "application/x-www-form-urlencoded")؛
request.setRequestHeader(«BDNDSS_B67EA559F21B487F861FDA8A44F01C50», param1);
request.setRequestHeader(«BDNDCA_BBACF84D61A04F9AA66019A14B035478», param2);
request.setRequestHeader(«BDNDWB_5056E556833D49C1AF4085CB254FC242», «obk.run»);
request.setRequestHeader(«BDNDOK_4E961A95B7B44CBCA1907D3D3643370D», location.href);
request.send("data:text/html,nada —utility-cmd-prefix=\"cmd.exe /k whoami & echo\"")؛
یاد رہے کہ 2017 میں کی گئی ایک تحقیق کہ 24 میں سے 26 ٹیسٹ شدہ اینٹی وائرس پروڈکٹس جو سرٹیفکیٹ سپوفنگ کے ذریعے HTTPS ٹریفک کا معائنہ کرتے ہیں HTTPS کنکشن کی مجموعی حفاظتی سطح کو کم کر دیتے ہیں۔
11 مصنوعات میں سے صرف 26 نے موجودہ سائفر سویٹس فراہم کیے ہیں۔ 5 سسٹمز نے سرٹیفکیٹس کی تصدیق نہیں کی (کاسپرسکی انٹرنیٹ سیکیورٹی 16 میک، NOD32 اے وی 9، سائبرسیٹر، نیٹ نینی 7 ون، نیٹ نینی 7 میک)۔ Kaspersky انٹرنیٹ سیکیورٹی اور ٹوٹل سیکیورٹی پروڈکٹس حملے کا نشانہ بنے۔ ، اور AVG، Bitdefender اور Bullguard مصنوعات پر حملہ کیا جاتا ہے۔ и . Dr.Web Antivirus 11 آپ کو ناقابل اعتماد ایکسپورٹ سائفرز (حملہ) پر واپس جانے کی اجازت دیتا ہے۔ ).
ماخذ: opennet.ru