Comments 58
А рядом нашелся компонент который читает консоль и передает все JSON куда не следует?
В данном случае нет. Но не редкость, когда подписанные приложения известных производителей распространяются вместе с вредоносным ПО. Примеров много: TeamViewer, PuntoSwitcher, некоторые компоненты McAfee. Или те же утилиты от NirSoft, но их почти все производители детектируют как PUA.
Остается вопрос зачем его включать в поставку без самого менеджера паролей и нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?
Остается вопрос зачем его включать в поставку без самого менеджера паролей и нельзя ли это было реализовать например в виде DLL, которая при вызове её API проверяла бы цифровую подпись вызывающей программы?
Большинство антивирусов — самые настоящие вирусы в другом обличье. Это тоже самое что и гопота, одели полицейскую форму и легализовались.
Ни разу не видел у толковых специалистов антивирусного шлака на рабочей машине, за исключением случаев когда это было навязано политикой компании.
В самом лучшем случае — антивирус будет просто тормозить систему.
Для здравомыслящих людей давно есть докер, песочницы, удаленные системы проверки (visrustotal).
Ни разу не видел у толковых специалистов антивирусного шлака на рабочей машине, за исключением случаев когда это было навязано политикой компании.
В самом лучшем случае — антивирус будет просто тормозить систему.
Для здравомыслящих людей давно есть докер, песочницы, удаленные системы проверки (visrustotal).
В самом лучшем случае — антивирус будет просто тормозить систему.
Так и есть.
Ну специалист и вправду может без антивируса. Но не домохозяйка, которая сидит без uBlock, кликает по каждому баннеру, не отличает в выдаче Яндекса рекламные ссылки от результатов поиска и вообще не знает, что такое «расширение», отличая exe-файлы от docx только по цвету иконки.
Для домохозайки или рабочего с предприятия (которые не выключают ТВ) можно вкрутить в уши что угодно. В том числе и то, что антивирус нужен. Но он им и правда нужен в виде контрацепции.
Add: докер, песочница? Это просто смешно.
Add: докер, песочница? Это просто смешно.
VirusTotal Uploader решает 99% всех проблем.
Я достаточно редко скачиваю что-то незнакомое из неверифицированных источников.
Как правило это — какие-то тулы. Через 15 секунд я знаю сколько человек скачивали конкретно этот бинарник, какой уровень доверия к нему и сколько антивирусов считают, что он безопасен.
Я достаточно редко скачиваю что-то незнакомое из неверифицированных источников.
Как правило это — какие-то тулы. Через 15 секунд я знаю сколько человек скачивали конкретно этот бинарник, какой уровень доверия к нему и сколько антивирусов считают, что он безопасен.
Это доказывает что антивирус всё-таки Вам нужен но только не на вашем пк.
Я отвечал на комментарий о компьютере разработчика.
Когда я хожу по удалёнке на компьютеры родителей или сестры — вопросов в необходимости антивируса у меня не возникает. Пытаюсь приучить их к VirusTotal, но зловреды (как правило рекламщики) периодически просачиваются.
На моих компах последний раз вирус был году в 2005-м, а антивирусы больше мешают, выкашивая вполне безобидные вещи, помечаемые многими антивирусами как !NotAVirus.
Когда я хожу по удалёнке на компьютеры родителей или сестры — вопросов в необходимости антивируса у меня не возникает. Пытаюсь приучить их к VirusTotal, но зловреды (как правило рекламщики) периодически просачиваются.
На моих компах последний раз вирус был году в 2005-м, а антивирусы больше мешают, выкашивая вполне безобидные вещи, помечаемые многими антивирусами как !NotAVirus.
а ведь есть ещё сверхразумы, которые ставят антивирусы на андройды) по-сути антивирусы это маркетинг и они лет 10 уже неактуальны
Я не специалист в области ИБ, но подозреваю, что Вы правы. Но есть ли какое то подтверждение этому мнению, чтобы обоснованно можно было сказать, что антивирус — зло?
Из неопровергаемого: антивирусы хотят сканировать веб-трафик на «опасность». С HTTP — понятно, а вот HTTPS — защищённое соединение между приложением (браузер) и сервером.
Что делают антивирусы? Устанавливают свой корневой сертификат и вклиниваются между браузером и интернетом. Это чистой воды MITM. Минусом идет то, что все страницы якобы защищены сертификатом %AV%, таким образом браузер своими механизмами подтвердить аутентичность уже не может.
Что делают антивирусы? Устанавливают свой корневой сертификат и вклиниваются между браузером и интернетом. Это чистой воды MITM. Минусом идет то, что все страницы якобы защищены сертификатом %AV%, таким образом браузер своими механизмами подтвердить аутентичность уже не может.
Более того, в истории повального внедрения HTTPS были случаи, когда у пользователей браузер ругался якобы на сертификат сайта, а реально это была просрочка/отзыв сертификата антивируса. Лечилось либо сносом антивируса либо обновлением но позже.
PS Ходила такая байка, что касперский антивирус специально грузит систему, чтобы вирусам оставалось меньше ресурсов. :)
PS Ходила такая байка, что касперский антивирус специально грузит систему, чтобы вирусам оставалось меньше ресурсов. :)
КДПВ
Отсюда
Этот компонент и в Avira Antivirus Pro есть.
Ну чем всех людей не устраивает Microsoft Defender ATP?.. Как можно такое до сих пор ставить, если уж хочется антивирус?
По поводу CVE-2020-12680 пишет, что номер зарезервирован, но информации еще нет: cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12680. Так и должно быть?
Теперь вот так:
DISPUTED Avira Free Antivirus through 15.0.2005.1866 allows local users to discover user credentials. The functions of the executable file Avira.PWM.NativeMessaging.exe are aimed at collecting credentials stored in Chrome, Firefox, Opera, and Edge. The executable does not verify the calling program and thus a request such as fetchChromePasswords or fetchCredentials will succeed. NOTE: some third parties have stated that this is "not a vulnerability."
«Стилер» — это когда слово «вор» слишком длинное и труднопроизносимое?
Автор, Стилер подразумевает именно кражу разве нет? А доказательств именно кражи паролей нет.
Очень жаль вам об этом говорить, но вы сделали совсем неправильные выводы из того, что нашли. Программа, которую вы обнаружили, обслуживает native messaging для браузерного расширения Avira Password Manager. Если взглянуть на код расширения (а я это недавно как раз делал), то ему эта программа нужна ровно для одной цели: для импорта паролей из браузеров. Так что ничего таинственного здесь нет, никакого сбора паролей или чего-либо подобного — просто импорт данных из одной программы в другую.
Да и «суть проблемы» у вас какая-то странная. Эта программа ведь ничего особенного не делает. Да, любая программа может её вызвать. Но так ведь и любая программа может сделать то же самое. Собрать пароли из профилей браузера активного пользователя ей помешать может только одно: установленный master password.
Так что никакой дыры безопасности здесь нет…
Да и «суть проблемы» у вас какая-то странная. Эта программа ведь ничего особенного не делает. Да, любая программа может её вызвать. Но так ведь и любая программа может сделать то же самое. Собрать пароли из профилей браузера активного пользователя ей помешать может только одно: установленный master password.
Так что никакой дыры безопасности здесь нет…
Проблема не в том, что данная программа собирает учетные данные. Проблема в том, что эта программа подписана доверенным сертификатом (из-за этого другие антивирусные продукты будут пропускать ее) и программа не проверяет кому она отдает собранные данные.
Давайте тогда сравним две программы:
1) WebBrowserPassView от NirSoft
www.virustotal.com/gui/file/c974d6d712fa92803f17ee749633ee76c6a80e2173e32bf6f9b645e402d20050/detection
2) Утилита из статьи
www.virustotal.com/gui/file/564cec65551eefb7371a8be059895c74b80553e4294d4fb661e340d575285417/detection
Эта программа ведь ничего особенного не делает. Да, любая программа может её вызвать. Но так ведь и любая программа может сделать то же самое.
Давайте тогда сравним две программы:
1) WebBrowserPassView от NirSoft
www.virustotal.com/gui/file/c974d6d712fa92803f17ee749633ee76c6a80e2173e32bf6f9b645e402d20050/detection
2) Утилита из статьи
www.virustotal.com/gui/file/564cec65551eefb7371a8be059895c74b80553e4294d4fb661e340d575285417/detection
Так что никакой дыры безопасности здесь нет…
А зачем антивирусу импортировать какие-то пароли?
Я же написал — не сам антивирус, а его менеджер паролей, Avira Password Manager.
Хорошо, где в описании к описываемому продукту есть упоминание модуля «Avira Password Manager»? Или где о нем есть упоминание в интерфейсе?
www.avira.com/ru/free-antivirus
www.avira.com/ru/free-antivirus
Вот здесь расписаны разные компоненты платного продукта, включая и менеджер паролей: www.avira.com/en/internet-security
Не знаю, является ли менеджер паролей непосредственно частью продукта Avira Free Security тоже, но его точно можно установить дополнительно с www.avira.com/en/password-manager.
Не знаю, является ли менеджер паролей непосредственно частью продукта Avira Free Security тоже, но его точно можно установить дополнительно с www.avira.com/en/password-manager.
Про платные речи в статье нет. И про Avira Free Security тоже.
Лично я вижу на сайте два отдельных продукта Avira Free Security (https://www.avira.com/en/free-security) и Avira Free Antivirus (https://www.avira.com/en/free-antivirus).
Лично я вижу на сайте два отдельных продукта Avira Free Security (https://www.avira.com/en/free-security) и Avira Free Antivirus (https://www.avira.com/en/free-antivirus).
Да, я перепутал. Хорошо, Avira Free Antivirus. В любом случае — даже если менеджер паролей не является частью продукта, пользователь может его добавить (только само расширение, бинарный код там установить нельзя). Поэтому и есть поддержка для него.
Но ведь для вашей аргументации абсолютно неважно, есть ли эта компонента во всех продуктах или только в платных. Не так ли?
Но ведь для вашей аргументации абсолютно неважно, есть ли эта компонента во всех продуктах или только в платных. Не так ли?
Зачем антивирусу менеджер паролей?
Ну, может потому что менеджер паролей нужен для безопасного их хранения, а антивирус — тоже нужен для безопасности? Потому что это проги из одной группы и логично предлагать с антивирусом еще и менеджер паролей?
А менеджер паролей в браузере (во всех браузерах) небезопасен получается?
Собсно, у меня претензия ровно одна: если мне вздумалось установить программу менеджер паролей, я осознаю, что существующий менеджер меня чем-то не устраивает. Если же я получаю менеджер паролей в довесок к чему-то, это странно. Если он начинает работать вместо существующего — я удивлюсь очень. Если он будет работать вместе с существующим — при чем тут безопасность? Если он лежит и пока никак себя не проявляет — внутренний параноик начинает беспокоиться.
Собсно, у меня претензия ровно одна: если мне вздумалось установить программу менеджер паролей, я осознаю, что существующий менеджер меня чем-то не устраивает. Если же я получаю менеджер паролей в довесок к чему-то, это странно. Если он начинает работать вместо существующего — я удивлюсь очень. Если он будет работать вместе с существующим — при чем тут безопасность? Если он лежит и пока никак себя не проявляет — внутренний параноик начинает беспокоиться.
Да, менеджер паролей браузера не безопасен. Что собственно и демонстрирует парсинг паролей скриптом Авиры. У них конечно не красиво получилось и все внутренние параноики хором кричат «ну вот, мы же говорили!». Однако простого разгильдяйства исключать тож нельзя. И пока нет информации, что сам антивирь юзает скрипт именно для кражи, версии параноиков мне кажутся сущностями, которые расплодили без необходимости.
Да, менеджер паролей в браузере — вещь абсолютно базовая. Существует, к примеру, вопрос локальной защиты паролей. Firefox позволяет установить master password, но пользователь должен думать об этом сам. Плюс, реализация не оптимальная (вроде недавно наконец исправили). В Chrome такой возможности, насколько я знаю, вообще нет.
К этому добавим синхронизацию паролей между несколькими приборами. Тут тоже были серьезные проблемы. Chrome их поправил, но установка пароля все еще не обязательная. У Firefox проблемы были менее серьезные, но здесь прогресса с тех пор не было.
Конечно, не у всех производителей антивирусов получается лучше. У Касперского, к примеру — вообще катастрофа. Но у Avira менеджер паролей вполне неплохой.
К этому добавим синхронизацию паролей между несколькими приборами. Тут тоже были серьезные проблемы. Chrome их поправил, но установка пароля все еще не обязательная. У Firefox проблемы были менее серьезные, но здесь прогресса с тех пор не было.
Конечно, не у всех производителей антивирусов получается лучше. У Касперского, к примеру — вообще катастрофа. Но у Avira менеджер паролей вполне неплохой.
Да не так всё. Тут все так же как с закладками в браузерах. У вас есть встроенный менеджер паролей в браузере, так? Потом Вы устанавливайте какую-то секьюрную прогу, в которой реализован собственный менеджер паролей. И в этот момент эта утилита по идее должна вас спросить, импортировать ли ей пароли из браузера, потом из еще какой другой проги.
Так же с закладками в браузере, я синхро6изирую закладки браузеров, ибо приходится работать в нескольких.
Вот тут и есть проблема, что как я понимаю, авира не спрашивает, а тихо импортирует, да еще и может отдать их по запросу другой(третьей) програме, которая может оказаться вредной.
Так же с закладками в браузере, я синхро6изирую закладки браузеров, ибо приходится работать в нескольких.
Вот тут и есть проблема, что как я понимаю, авира не спрашивает, а тихо импортирует, да еще и может отдать их по запросу другой(третьей) програме, которая может оказаться вредной.
Антивирусом в наше время уже никого не удивишь, деньги за него никто платить не станет. Поэтому все производители тщательно стараются привлечь клиентов дополнительными функциями, в частности касающимися онлайн-защиты. Менеджер паролей — одна из таких функций, довольно распространенная. В принципе, хороший менеджер паролей действительно улучшает безопасность (позволяет использовать уникальный и сложный пароль для каждого сайта). Я посмотрел свои записки насчет Avira Password Manager (дело было в прошлом году) — дыр безопасности я в нем не обнаружил, он сделан в принципе хорошо, хотя и есть несколько сомнительных моментов.
Например, для того, чтобы проверить их по всяким базам утечек и рекомендовать сменить. Хотя с реализацией этой функции надо быть ну очень осторожным…
Зачем переживать о каком-то антивирусе который может украсть персональные данные сидя на винде?
Чаще всего, неопытные пользователи не являются инициаторами установки таких ПО, точнее делают это не намеренно.
В чем уязвимость? Прога по открытым АПИ берет пароли и собирает их в ДжиСон? Так я могу это и напрямую сделать… Больше напоминает попытку дешевого пиара. Автор — вы не нашли уязвимость. ^ _ ^
Как уже писал выше, уязвимость в том, что программа с доверенной подписью и возвращает собранные данные любому желающему. Данные можно было безопасно передавать в хост-процесс антивируса, а не кидать их чистым текстом в вывод.
Сделайте напрямую, вопросов нет. Чуть выше привел сравнительную ссылку на отчет VT по программе с аналогичным функционалом. Чем они хуже, что их метит половина вендоров?
Сделайте напрямую, вопросов нет. Чуть выше привел сравнительную ссылку на отчет VT по программе с аналогичным функционалом. Чем они хуже, что их метит половина вендоров?
Это не уязвимость — эти данные и так доступны через апи. она их куда-то отсылает? нет.
Что тогда скажете про mimikatz?
Любые данные доступны через API, не так ли? Я с таким же успехом могу при помощи ReadProcessMemory считать память программы обслуживающей POS-терминал и взять оттуда номер карты. Через API же.
Любые данные доступны через API, не так ли? Я с таким же успехом могу при помощи ReadProcessMemory считать память программы обслуживающей POS-терминал и взять оттуда номер карты. Через API же.
еще раз. Если я могу обычными вызовами / через простое по получить инфу — это не уязвимость. Вернее уязвимость. БРАУЗЕРОВ. Но никак не софта. Эдак вы договоритесь до того, что у вас блокнот уязвимость или консоль.
Думаю я понял Вашу точку зрения. Просто потенциально нежелательная программа (PUA)?
Если вы ставите галочку «сохранять пароли» — то говорить о безопасности уже не приходится. Эти пароли уже скомпроментированы. вопрос знаний. Я много чего интересного могу например из регедита получить, а еще больше из powershell — это делает их вредоносами?
Вот этот вот "получающий" код для регедита и powershell тоже будет помечен всеми антивирусами как подозрительное ПО.
А в примере автора, можно запаковать подписанный, не детектящийся .exe из комплекта авиры со своим вредоносом, который никаких подозрительных вызовов API не содержит. А пароли получает через эту тулзу.
В этом автор и подразумевает разницу: потенциал по обходу антивирусов.
Антивирусы, в данном случае, превентивно реагируют на подозрительные действия, а не ждут 100% доказательства вины: например, антивирусы будут ругаться на изменение файла hosts, хотя не факт, что программа его меняющая — вредонос. Так же антивирусы ругаются и на получение паролей из браузера. Хотя не факт, что пароли эти отправляются злоумышленникам.
Но в случае с бинарником из статьи, антивирусы не ругаются просто потому что этот файл лежит в комплекте с одним из них и считается доверенным :)
А давайте зайдем с другой стороны: штатное получение паролей из браузера юзера при запуске из под этого юзера без повышения привилегий (UAC) требует какой-то авторизации?
Это можно было бы назвать уязвимостью, если бы запущенный под юзером процесс обращался например к службе, работающей с более высокими правами и получал от неё данные, которые без повышения привилегий недоступны. Такое как раз вполне себе случается, и это вполне себе дырка.
А так это всего лишь прокси-обертка, не более.
Это можно было бы назвать уязвимостью, если бы запущенный под юзером процесс обращался например к службе, работающей с более высокими правами и получал от неё данные, которые без повышения привилегий недоступны. Такое как раз вполне себе случается, и это вполне себе дырка.
А так это всего лишь прокси-обертка, не более.
del. Промахнулся.
Sign up to leave a comment.
Стилер паролей в антивирусном ПО Avira Free Antivirus