Get best of the week

Diseño de contraseña en el software antivirus Avira Free Antivirus

¿Qué sucede si le digo que la única función de uno de los componentes del software antivirus que tiene una firma digital confiable es recopilar todas sus credenciales almacenadas en los navegadores de Internet más populares? ¿Y si le digo eso no importa en interés de quién recogerlos? Probablemente piense que estoy delirando. ¿Y veamos cómo es realmente?


Resuelto


Una compañía antivirus como Avira GmbH & Co. vive y sigue viviendo . KG . Lanza varios productos relacionados con la seguridad de la información. El surtido incluso tiene productos gratuitos para uso doméstico.


Vamos a establecer interés por el bien de la versión gratuita, ver qué puede hacer el producto de colegas alemanes. Echamos un vistazo a la interfaz, nada inusual. No encontramos ninguna mención de otro producto de la compañía: Avira Password Manager.


Y echemos un vistazo al componente con el nombre " Avira.PWM.NativeMessaging.exe " que no llama la atención . Está compilado para la plataforma .NET y no está ofuscado de ninguna manera, por lo que lo cargamos en dnSpy y estudiamos libremente el código del programa.


El programa es una consola y espera comandos en una secuencia de entrada estándar. La función principal que usa " Leer " lee los datos de la secuencia, verifica el formato y pasa el comando a la función " ProcessMessage ". Lo mismo, a su vez, comprueba que el comando transmitido es " fetchChromePasswords " o " fetchCredentials " (aunque ¿qué diferencia hace si el comportamiento adicional es el mismo?) Y luego comienza lo más interesante: llamar a la función " RetrieveBrowserCredentials ". Incluso es interesante ... ¿qué puede hacer una función con ese nombre?


Listado de código para la función ProcessMessage


, , - «Chrome», «Opera» ( Chromium), «Firefox» «Edge» ( Chromium) JSON-.


Listado del código de función RetrieveBrowserCredentials


:


Captura de pantalla de la línea de comando con los datos recibidos.



  • ;
  • (, );
  • «» ;
  • .

IoC


SHA1: 13c95241e671b98342dba51741fd02621768ecd5.


CVE-2020-12680.


Sobre este tema envié una carta a support@avira.com e info@avira.com con una descripción completa el 07/04/2020. No hubo cartas de respuesta, incluso de sistemas automáticos. Un mes después, el componente descrito todavía se distribuye en la distribución Avira Free Antivirus.

More articles:


All Articles