Bug no site da Avira põe em risco milhões de contas de usuário

O que você acha sobre se dizer que um antivírus pode representar uma ameaça para o seu sistema? Antivirus como qualquer outro tipo de software pode ser explorada por atores ameaça comprometer a máquina como já expliquei o meu post anterior .
O popular um ntivirus software Avira, que inclui um serviço de Secure Backup é vulnerável a uma vulnerabilidade de aplicação web crítica que poderia permitir que um invasor assuma o controle da conta do usuário.
O jovem de 16 anos egípcio Gamal especialista Mazen informou a O Hacker News que o site Avira é afetada por uma  CSRF vulnerabilidade (Cross-site request forgery) que permite a um atacante  para roubar as contas dos usuários e acesso on-line aos seus Secure Cloud arquivos de backup.
A vulnerabilidade CSRF potencialmente coloca milhões de conta dos usuários Avira em risco.
CSRF permite o usuário final para executar ações indesejadas em uma aplicação web, uma vez que ele é autenticado, em  um típico atacante esquema de ataque envia um link por e-mail ou através de uma plataforma de mídia social, ou compartilhar uma página HTML especialmente criado para explorar enganar a vítima a executar ações de escolha do atacante.
Backup de servidor Avira
Neste caso específico um invasor pode usar CSRF explorar para enganar a vítima a acessar um link malicioso que contém os pedidos que irão substituir ID de e-mail da vítima por conta Avira com o atacante e-mail ID. Este presente CSRF ataque conta da vítima poderia ser facilmente comprometida, substituindo o endereço de email que o atacante pode facilmente redefinir a senha da  conta da vítima  executar o procedimento senha esquecer, bacause
Avira vai enviar o link de redefinição de senha para o atacante email ID em vez de ID da vítima.
Uma vez que ganhou o acesso à conta da vítima o atacante seria capaz de recuperar o seu backup online, que incluem arquivos que o usuário armazenadas no software de backup online ( https://dav.backup.avira.com/ ).
"Eu encontrei uma vulnerabilidade CSRF em Avira pode me levar a conta de aquisição da totalidade de qualquer conta de usuário Avira", disse Gamal através de um e-mail para O Hacker News. "O impacto da aquisição conta permitiu-me para abrir os arquivos de backup da vítima e também ver os códigos de licença para o usuário afetado."

Gamal também forneceu um vídeo Proof-of-Concept para demonstrar a sua descoberta.

Gamal relatou a vulnerabilidade à equipe Avira Security em 21 de agosto, a equipe admitiu a falha e corrigiu o bug CSRF em seu site, mas o serviço de backup online seguro "ainda é vulnerável a hackers até Avira não irá oferecer uma camada de senha desligada para desencriptar arquivos localmente . "

Mazen Gamal tem sido reconhecida como um bug caçador oficial do Avira.

Pierluigi Paganini

( Segurança Negócios  - AVIRA , CSRF )