Avira Free Antivirus крадёт пароли пользователей из основных браузеров

Avira Free Antivirus крадёт пароли пользователей из основных браузеров

7.05.20
Константин Николенко (@Veliant), один из участников площадки «Хабр», рассказал о сомнительных функциях бесплатного антивирусного продукта от компании Avira (Avira Free Antivirus). По словам исследователя, один из компонентов бесплатной версии собирает учётные данные пользователей.

1588856834179.png

Первым делом Николенко обращает наше внимание на компонент с именем «Avira.PWM.NativeMessaging.exe», скомпилированный для платформы .NET и при этом ничем не обфусцированный.

Изучив часть программы, специалист отметил функцию считывания при помощи «Read», проверки формата и передачи команды в другую функцию — «ProcessMessage». Последняя проверяет полученную команду на соответствие «fetchChromePasswords» и «fetchCredentials».

После этого, как объясняет Николенко «начинается самое интересное»: вызывается функция «RetrieveBrowserCredentials», которая сама по себе уже вызывает подозрения хотя бы из-за своего имени — «извлечь учётные данные из браузера».

1588856679820.png

На деле оказалось, что «RetrieveBrowserCredentials» собирает все учётные данные пользователя, сохранённые в браузерах Chrome, Opera, Firefox и Edge. После этого данные возвращаются в виде JSON-объекта.

1588856731851.png

Николенко утверждает, что направил все необходимые сведения представителям Avira 7 апреля 2020 года. Пока от антивирусного вендора не удалось получить комментарии относительно проблемы, которая, кстати, получила собственный идентификатор — CVE-2020-12680.

Источник: Avira Free Antivirus крадёт пароли пользователей из основных браузеров
 
Последнее редактирование:
Первым делом Николенко обращает наше внимание на компонент с именем «Avira.PWM.NativeMessaging.exe», скомпилированный для платформы .NET и при этом ничем не обфусцированный.

Изучив часть программы
И теперь компания вправе подать на него в суд за декомпиляцию :D
А сама аргументирует это бесплатным средством восстановления забытых паролей =)))
 
Последнее редактирование:
Там интересно и продолжение истории:

От комментария на Хабре к уязвимости в антивирусе Dr. Web


Относительно недавно на хабре появилась статья «Стилер паролей в антивирусном ПО Avira Free Antivirus» от пользователя Veliant. Автор обнаружил, что в стандартной поставке упомянутого антивируса присутствует компонент, который позволяет простым образом извлечь пароли из хранилища браузера Chrome.

В комментариях произошла дискуссия, можно ли считать это уязвимостью. Но меня зацепил один комментарий автора:
 
Гы, было интересно почитать комментарии и к этой статье =))
ГК РФ Статья 1280 вообще отпадная.
off.
PS. NickM, а это вы мне на oszone отвечали?
 
Последнее редактирование:
Хех, буду знать у кого спрашивать. Шучу ))
Просто лень было писать на WinAPI, захотелось попробовать что-нибудь новенького.
 
Назад
Сверху Снизу