Que se passe-t-il si je vous dis que la seule fonction d'un des composants logiciels antivirus qui a une signature numérique de confiance est de collecter toutes vos informations d'identification stockées dans les navigateurs Internet populaires? Et si je lui dis que cela n'a pas d'importance dans l'intérêt de qui de les collecter? Je pense probablement que je délire. Et voyons comment c'est vraiment?
Trié
Une société antivirus comme Avira GmbH & Co. vit et vit . KG . Il publie divers produits liés à la sécurité de l'information. L'assortiment propose même des produits gratuits pour un usage domestique.
Nous allons susciter l'intérêt pour la version gratuite, voir ce que le produit de collègues allemands peut faire. Nous jetons un coup d'œil sur l'interface - rien d'inhabituel. Nous ne trouvons aucune mention d'un autre produit de la société - Avira Password Manager.
Et regardons le composant avec le nom " Avira.PWM.NativeMessaging.exe " qui n'attire pas l'attention ? Il est compilé pour la plate-forme .NET et n'est en aucun cas obscurci, nous le chargeons donc dans dnSpy et étudions librement le code du programme.
Le programme est une console et il attend des commandes dans un flux d'entrée standard. La fonction principale utilisant « Lire » lit les données du flux, vérifie le format et passe la commande à la fonction « ProcessMessage ». La même chose, à son tour, vérifie que la commande passée est " fetchChromePasswords " ou " fetchCredentials " (bien que quelle est la différence si le comportement ultérieur est le même?) Et puis la chose la plus intéressante commence - l'appel à la fonction " RetrieveBrowserCredentials ". C'est même intéressant ... que peut faire une fonction avec ce nom?
, , - «Chrome», «Opera» ( Chromium), «Firefox» «Edge» ( Chromium) JSON-.
:
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680.
À ce sujet, j'ai envoyé une lettre à support@avira.com et info@avira.com avec une description complète le 04/07/2020. Il n'y a eu aucune lettre de réponse, y compris de systèmes automatiques. Un mois plus tard, le composant décrit est toujours distribué dans la distribution Avira Free Antivirus.