ماذا لو أخبرتك أن الوظيفة الوحيدة لأحد مكونات برامج مكافحة الفيروسات التي لها توقيع رقمي موثوق هي جمع كل بيانات الاعتماد المخزنة في مستعرضات الإنترنت الشائعة؟ وإذا قلت له ذلك لا يهم من يجمعها؟ أعتقد ربما أنا هذيان. ودعنا نرى كيف هو حقا؟
انتهي النوع
شركة مكافحة الفيروسات مثل Avira GmbH & Co. تعيش وتعيش . كغ . تصدر العديد من المنتجات المتعلقة بأمن المعلومات. تحتوي التشكيلة على منتجات مجانية للاستخدام المنزلي.
سنحظى بالاهتمام من أجل الإصدار المجاني ، ونرى ما يمكن أن يفعله منتج الزملاء الألمان. نحن نلقي نظرة على الواجهة - لا شيء غير عادي. لم نجد أي ذكر لمنتج شركة أخرى - Avira Password Manager.
ودعنا نلقي نظرة على المكون باسم " Avira.PWM.NativeMessaging.exe " الذي لا يجذب الانتباه ؟ تم تجميعه لمنصة .NET ولا يتم تشويشه بأي شكل من الأشكال ، لذلك نقوم بتحميله في dnSpy ودراسة كود البرنامج بحرية.
البرنامج هو وحدة التحكم ويتوقع الأوامر في دفق إدخال قياسي. الوظيفة الرئيسية باستخدام " قراءة " تقرأ البيانات من الدفق ، وتتحقق من التنسيق وتمرر الأمر إلى وظيفة " ProcessMessage ". نفس الشيء ، بدوره ، يتحقق من أن الأمر المرسل هو " fetchChromePasswords " أو " fetchCredentials " (على الرغم من الفرق الذي يحدثه إذا كان السلوك الإضافي هو نفسه؟) ثم يبدأ الأمر الأكثر إثارة للاهتمام - استدعاء وظيفة " RetrieveBrowserCredentials ". حتى أنه مثير للاهتمام ... ما الذي يمكن أن تفعله وظيفة بهذا الاسم؟
, , - «Chrome», «Opera» ( Chromium), «Firefox» «Edge» ( Chromium) JSON-.
:
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680.
حول هذه المسألة ، أرسلت رسالة إلى support@avira.com و info@avira.com مع وصف كامل بتاريخ 04/07/2020. لم تكن هناك رسائل رد ، بما في ذلك من الأنظمة التلقائية. بعد شهر ، لا يزال يتم توزيع المكون الموصوف في توزيع Avira Free Antivirus.