如果我告訴您,具有可信任數位簽章的防毒軟體元件之一的唯一功能是收集您儲存在流行 Internet 瀏覽器中的所有憑證,您會怎麼樣? 如果我說收集這些錢對他來說是誰的利益並不重要呢? 你可能會認為我有妄想症。 我們來看看到底是怎麼樣的呢?
讓我們弄清楚一下
像這樣的防毒公司生活與生活
讓我們對免費版本感興趣,看看我們德國同事的產品能做什麼。 我們瀏覽了一下介面——沒有什麼異常。 我們沒有發現任何提及該公司的另一款產品 - Avira 密碼管理器。
讓我們來看看名字不引人注目的組件“Avira.PWM.NativeMessaging.exe「? 它是針對.NET平台編譯的,沒有任何混淆,因此我們將其載入到dnSpy中並自由研究程式碼。
該程序是一個控制台程序,它需要標準輸入流中的命令。 主要功能使用“更多內容“從流中讀取數據,檢查格式並將命令傳遞給函數”處理訊息」 同樣,依序檢查傳輸的命令是否為“取得Chrome密碼“ 或者 ”取得憑證“(儘管如果進一步的行為相同,會有什麼區別?)然後最有趣的部分開始 - 呼叫函數”檢索瀏覽器憑證」 甚至很有趣......具有該名稱的函數可以做什麼?
沒什麼不尋常的,它只是將使用互聯網瀏覽器“Chrome”、“Opera”(基於Chromium)、“Firefox”和“Edge”(基於Chromium)時保存的所有用戶帳戶收集到一個列表中,並將數據作為JSON 對象。
好吧,然後它將收集到的數據顯示到控制台:
問題的本質
- 該組件收集用戶憑證;
- 該元件不會驗證呼叫程式(例如,是否具有製造商本身的數位簽章);
- 該組件具有“可信”的數位簽名,不會引起其他防毒軟體製造商的懷疑;
- 該組件作為單獨的應用程式運行。
國際奧委會
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
為此問題發布了 CVE-2020-12680。
07.04.2020 年 XNUMX 月 XNUMX 日,我就這個問題發了一封信至: [電子郵件保護] и [電子郵件保護] 有完整的描述。 沒有回信,包括自動系統的回信。 一個月後,所描述的組件仍然分佈在 Avira Free Antivirus 發行版中。
來源: www.habr.com