Comments 58
А рядом нашелся компонент который читает консоль и передает все JSON куда не следует?
Остается вопрос зачем его включать в поставку без самого менеджера паролей и нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?
нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы
Обычно такие проверки обходятся очень легко.
ТимВьювер грузит вредоносные ПО?
Ни разу не видел у толковых специалистов антивирусного шлака на рабочей машине, за исключением случаев когда это было навязано политикой компании.
В самом лучшем случае — антивирус будет просто тормозить систему.
Для здравомыслящих людей давно есть докер, песочницы, удаленные системы проверки (visrustotal).
В самом лучшем случае — антивирус будет просто тормозить систему.
Так и есть.
Add: докер, песочница? Это просто смешно.
Я достаточно редко скачиваю что-то незнакомое из неверифицированных источников.
Как правило это — какие-то тулы. Через 15 секунд я знаю сколько человек скачивали конкретно этот бинарник, какой уровень доверия к нему и сколько антивирусов считают, что он безопасен.
Когда я хожу по удалёнке на компьютеры родителей или сестры — вопросов в необходимости антивируса у меня не возникает. Пытаюсь приучить их к VirusTotal, но зловреды (как правило рекламщики) периодически просачиваются.
На моих компах последний раз вирус был году в 2005-м, а антивирусы больше мешают, выкашивая вполне безобидные вещи, помечаемые многими антивирусами как !NotAVirus.
Что делают антивирусы? Устанавливают свой корневой сертификат и вклиниваются между браузером и интернетом. Это чистой воды MITM. Минусом идет то, что все страницы якобы защищены сертификатом %AV%, таким образом браузер своими механизмами подтвердить аутентичность уже не может.
PS Ходила такая байка, что касперский антивирус специально грузит систему, чтобы вирусам оставалось меньше ресурсов. :)
Free Anti-Virus Software pic.twitter.com/RYuRDTnS5d
— System32Comics (@System32Comics) November 2, 2019
Теперь вот так:
DISPUTED Avira Free Antivirus through 15.0.2005.1866 allows local users to discover user credentials. The functions of the executable file Avira.PWM.NativeMessaging.exe are aimed at collecting credentials stored in Chrome, Firefox, Opera, and Edge. The executable does not verify the calling program and thus a request such as fetchChromePasswords or fetchCredentials will succeed. NOTE: some third parties have stated that this is "not a vulnerability."
«Стилер» — это когда слово «вор» слишком длинное и труднопроизносимое?
Автор, Стилер подразумевает именно кражу разве нет? А доказательств именно кражи паролей нет.
Да и «суть проблемы» у вас какая-то странная. Эта программа ведь ничего особенного не делает. Да, любая программа может её вызвать. Но так ведь и любая программа может сделать то же самое. Собрать пароли из профилей браузера активного пользователя ей помешать может только одно: установленный master password.
Так что никакой дыры безопасности здесь нет…
Эта программа ведь ничего особенного не делает. Да, любая программа может её вызвать. Но так ведь и любая программа может сделать то же самое.
Давайте тогда сравним две программы:
1) WebBrowserPassView от NirSoft
www.virustotal.com/gui/file/c974d6d712fa92803f17ee749633ee76c6a80e2173e32bf6f9b645e402d20050/detection
2) Утилита из статьи
www.virustotal.com/gui/file/564cec65551eefb7371a8be059895c74b80553e4294d4fb661e340d575285417/detection
Так что никакой дыры безопасности здесь нет…
А зачем антивирусу импортировать какие-то пароли?
www.avira.com/ru/free-antivirus
Не знаю, является ли менеджер паролей непосредственно частью продукта Avira Free Security тоже, но его точно можно установить дополнительно с www.avira.com/en/password-manager.
Лично я вижу на сайте два отдельных продукта Avira Free Security (https://www.avira.com/en/free-security) и Avira Free Antivirus (https://www.avira.com/en/free-antivirus).
Но ведь для вашей аргументации абсолютно неважно, есть ли эта компонента во всех продуктах или только в платных. Не так ли?
Собсно, у меня претензия ровно одна: если мне вздумалось установить программу менеджер паролей, я осознаю, что существующий менеджер меня чем-то не устраивает. Если же я получаю менеджер паролей в довесок к чему-то, это странно. Если он начинает работать вместо существующего — я удивлюсь очень. Если он будет работать вместе с существующим — при чем тут безопасность? Если он лежит и пока никак себя не проявляет — внутренний параноик начинает беспокоиться.
К этому добавим синхронизацию паролей между несколькими приборами. Тут тоже были серьезные проблемы. Chrome их поправил, но установка пароля все еще не обязательная. У Firefox проблемы были менее серьезные, но здесь прогресса с тех пор не было.
Конечно, не у всех производителей антивирусов получается лучше. У Касперского, к примеру — вообще катастрофа. Но у Avira менеджер паролей вполне неплохой.
Так же с закладками в браузере, я синхро6изирую закладки браузеров, ибо приходится работать в нескольких.
Вот тут и есть проблема, что как я понимаю, авира не спрашивает, а тихо импортирует, да еще и может отдать их по запросу другой(третьей) програме, которая может оказаться вредной.
Сделайте напрямую, вопросов нет. Чуть выше привел сравнительную ссылку на отчет VT по программе с аналогичным функционалом. Чем они хуже, что их метит половина вендоров?
Любые данные доступны через API, не так ли? Я с таким же успехом могу при помощи ReadProcessMemory считать память программы обслуживающей POS-терминал и взять оттуда номер карты. Через API же.
Вот этот вот "получающий" код для регедита и powershell тоже будет помечен всеми антивирусами как подозрительное ПО.
А в примере автора, можно запаковать подписанный, не детектящийся .exe из комплекта авиры со своим вредоносом, который никаких подозрительных вызовов API не содержит. А пароли получает через эту тулзу.
В этом автор и подразумевает разницу: потенциал по обходу антивирусов.
Антивирусы, в данном случае, превентивно реагируют на подозрительные действия, а не ждут 100% доказательства вины: например, антивирусы будут ругаться на изменение файла hosts, хотя не факт, что программа его меняющая — вредонос. Так же антивирусы ругаются и на получение паролей из браузера. Хотя не факт, что пароли эти отправляются злоумышленникам.
Но в случае с бинарником из статьи, антивирусы не ругаются просто потому что этот файл лежит в комплекте с одним из них и считается доверенным :)
Это можно было бы назвать уязвимостью, если бы запущенный под юзером процесс обращался например к службе, работающей с более высокими правами и получал от неё данные, которые без повышения привилегий недоступны. Такое как раз вполне себе случается, и это вполне себе дырка.
А так это всего лишь прокси-обертка, не более.
Стилер паролей в антивирусном ПО Avira Free Antivirus