alexzir
08.05.2020, 16:26
Константин Николенко (@Veliant), один из участников площадки «Хабр», рассказал о сомнительных функциях бесплатного антивирусного продукта от компании Avira (Avira Free Antivirus). По словам исследователя, один из компонентов бесплатной версии собирает учётные данные пользователей.
https://static.safezone.cc/data/attachments/45/45335-96eeee951d477579c923f85f0d9e7f82.jpg (https://safezone.cc/attachments/1588856834179-png.50999/)
Первым делом Николенко обращает наше внимание на компонент с именем «Avira.PWM.NativeMessaging.exe», скомпилированный для платформы .NET и при этом ничем не обфусцированный.
Изучив часть программы, специалист отметил функцию считывания при помощи «Read», проверки формата и передачи команды в другую функцию — «ProcessMessage». Последняя проверяет полученную команду на соответствие «fetchChromePasswords» и «fetchCredentials».
После этого, как объясняет Николенко «начинается самое интересное»: вызывается функция «RetrieveBrowserCredentials», которая сама по себе уже вызывает подозрения хотя бы из-за своего имени — «извлечь учётные данные из браузера».
https://static.safezone.cc/data/attachments/45/45333-c5f0d852bbc83d0ce1833411d5551b49.jpg (https://safezone.cc/attachments/1588856679820-png.50997/)
На деле оказалось, что «RetrieveBrowserCredentials» собирает все учётные данные пользователя, сохранённые в браузерах Chrome, Opera, Firefox и Edge. После этого данные возвращаются в виде JSON-объекта.
https://static.safezone.cc/data/attachments/45/45334-b632b9485080c0bed2373e7fb290e45c.jpg (https://safezone.cc/attachments/1588856731851-png.50998/)
Николенко утверждает, что направил все необходимые сведения представителям Avira 7 апреля 2020 года. Пока от антивирусного вендора не удалось получить комментарии относительно проблемы, которая, кстати, получила собственный идентификатор — CVE-2020-12680.
Источник: Avira Free Antivirus крадёт пароли пользователей из основных браузеров (https://www.anti-malware.ru/news/2020-05-07-111332/32628)
https://static.safezone.cc/data/attachments/45/45335-96eeee951d477579c923f85f0d9e7f82.jpg (https://safezone.cc/attachments/1588856834179-png.50999/)
Первым делом Николенко обращает наше внимание на компонент с именем «Avira.PWM.NativeMessaging.exe», скомпилированный для платформы .NET и при этом ничем не обфусцированный.
Изучив часть программы, специалист отметил функцию считывания при помощи «Read», проверки формата и передачи команды в другую функцию — «ProcessMessage». Последняя проверяет полученную команду на соответствие «fetchChromePasswords» и «fetchCredentials».
После этого, как объясняет Николенко «начинается самое интересное»: вызывается функция «RetrieveBrowserCredentials», которая сама по себе уже вызывает подозрения хотя бы из-за своего имени — «извлечь учётные данные из браузера».
https://static.safezone.cc/data/attachments/45/45333-c5f0d852bbc83d0ce1833411d5551b49.jpg (https://safezone.cc/attachments/1588856679820-png.50997/)
На деле оказалось, что «RetrieveBrowserCredentials» собирает все учётные данные пользователя, сохранённые в браузерах Chrome, Opera, Firefox и Edge. После этого данные возвращаются в виде JSON-объекта.
https://static.safezone.cc/data/attachments/45/45334-b632b9485080c0bed2373e7fb290e45c.jpg (https://safezone.cc/attachments/1588856731851-png.50998/)
Николенко утверждает, что направил все необходимые сведения представителям Avira 7 апреля 2020 года. Пока от антивирусного вендора не удалось получить комментарии относительно проблемы, которая, кстати, получила собственный идентификатор — CVE-2020-12680.
Источник: Avira Free Antivirus крадёт пароли пользователей из основных браузеров (https://www.anti-malware.ru/news/2020-05-07-111332/32628)