E se eu lhe disser que a única função de um dos componentes de software antivírus que possui uma assinatura digital confiável é coletar todas as suas credenciais armazenadas em navegadores populares da Internet? E se eu disser isso a ele, não importa em quem seja o interesse de colecioná-las? Provavelmente acho que estou delirando. E vamos ver como realmente é?
Resolvido
Uma empresa de antivírus como a Avira GmbH & Co. vive e vive . KG . Ele libera vários produtos relacionados à segurança da informação. O sortimento ainda possui produtos gratuitos para uso doméstico.
Vamos estabelecer interesse pela versão gratuita, ver o que o produto dos colegas alemães pode fazer. Nós olhamos pela interface - nada de anormal. Não encontramos nenhuma menção a outro produto da empresa - Avira Password Manager.
E vamos dar uma olhada no componente com o nome " Avira.PWM.NativeMessaging.exe " que não chama a atenção ? Ele é compilado para a plataforma .NET e não é ofuscado de forma alguma, então o carregamos no dnSpy e estudamos livremente o código do programa.
O programa é console e espera comandos em um fluxo de entrada padrão. A função principal usando “ Ler ” lê os dados do fluxo, verifica o formato e passa o comando para a função “ ProcessMessage ”. O mesmo, por sua vez, verifica se o comando transmitido é " fetchChromePasswords " ou " fetchCredentials " (embora que diferença isso faça se o comportamento adicional for o mesmo?) E então a coisa mais interessante começa - chamando a função " RetrieveBrowserCredentials ". É até interessante ... o que uma função com esse nome pode fazer?
, , - «Chrome», «Opera» ( Chromium), «Firefox» «Edge» ( Chromium) JSON-.
:
IoC
SHA1: 13c95241e671b98342dba51741fd02621768ecd5.
CVE-2020-12680.
Sobre esta questão, enviei uma carta para support@avira.com e info@avira.com com uma descrição completa em 04/07/2020. Não houve cartas de resposta, inclusive de sistemas automáticos. Um mês depois, o componente descrito ainda é distribuído na distribuição do Avira Free Antivirus.