如果我告诉您,具有可信数字签名的防病毒软件组件之一的唯一功能是收集您存储在流行 Internet 浏览器中的所有凭据,您会怎么样? 如果我说收集这些钱对他来说是谁的利益并不重要怎么办? 你可能会认为我有妄想症。 我们来看看到底是怎样的呢?
我们理解
像这样的反病毒公司生活和生活 。 生产与信息安全相关的各种产品。 甚至还有供家庭使用的免费产品。
让我们对免费版本感兴趣,看看我们德国同事的产品能做什么。 我们浏览了一下界面——没有什么异常。 我们没有发现任何提及该公司的另一款产品 - Avira 密码管理器。
我们来看看名字不引人注目的组件“Avira.PWM.NativeMessaging.exe“? 它是针对.NET平台编译的,没有任何混淆,因此我们将其加载到dnSpy中并自由研究程序代码。
该程序是一个控制台程序,它需要标准输入流中的命令。 主要功能使用“阅读“从流中读取数据,检查格式并将命令传递给函数”过程消息” 同样,依次检查传输的命令是否为“获取Chrome密码“或者”获取凭证“(尽管如果进一步的行为相同,会有什么区别?)然后最有趣的部分开始 - 调用函数”检索浏览器凭据” 甚至很有趣......具有该名称的函数可以做什么?
没什么不寻常的,它只是将使用互联网浏览器“Chrome”、“Opera”(基于 Chromium)、“Firefox”和“Edge”(基于 Chromium)时保存的所有用户帐户收集到一个列表中,并将数据作为JSON 对象。
好吧,然后它将收集到的数据显示到控制台:
问题的本质
- 该组件收集用户凭证;
- 该组件不会验证调用程序(例如,是否具有制造商本身的数字签名);
- 该组件具有“可信”的数字签名,不会引起其他防病毒软件制造商的怀疑;
- 该组件作为单独的应用程序运行。
国际奥委会
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
为此问题发布了 CVE-2020-12680。
07.04.2020 年 XNUMX 月 XNUMX 日,我就这个问题发了一封信至: [电子邮件保护] и [电子邮件保护] 有完整的描述。 没有回复信,包括来自自动系统的回复信。 一个月后,所描述的组件仍然分布在 Avira Free Antivirus 发行版中。
来源: habr.com