Как Avira Free Antivirus помогает воровать пароли

Антон Максимов09.05.2020

Пользователь Хабра с ником Veliant обнаружил в дистрибутиве Avira Free Antivirus компонент с названием Avira.PWM.NativeMessaging.exe, подписанный цифровой подписью производителя антивируса. В результате анализа было выявлено, что он собирает все логины и пароли, сохраненные в популярных браузерах (Google Chrome, Microsoft Edge, Opera, Firefox). При этом в самом антивирусном решении нет никаких инструментов для работы с этими данными или иных функций, которым бы могла понадобиться такая утилита.

Проблема заключается в том, что этой утилитой может воспользоваться любой злоумышленник без особых проблем. Достаточно проверить наличие файла и запустить его. Полученные результаты (список всех ресурсов, логинов и паролей к нему) собрать и передать на удаленный сервер. Ситуацию усугубляет и официальная цифровая подпись производителя, что дает такой программе зеленый свет на все действия без дополнительных ухищрений.

Veliant отправил в Avira письмо и сообщил о найденной проблеме, зарегистрировав запрос CVE-2020-12680, но ответа от антивирусной компании пока что не поступило.