Як саме працює черв'як у Facebook?

27

Я спочатку припускав, що мій друг у ФБ поширює шкідливе посилання, оскільки вона невинно прийняла додаток і надала йому пільги, але вона каже, що це не так. Дивіться обмін:

Друг: "Не натискайте на посилання, яке ви отримали від мене! Це заражене! Я його отримав (ім'я відредаговано) !!! Вибачте! Я мушу зупинитися ******!"
Я: "Ви прийняли заявку на FB. Все, що вам потрібно зробити, - це перейти в Обліковий запис -> Налаштування конфіденційності -> Програми та веб-сайти, і не приймаю заяву, яка порушує цю проблему. Ось чому я не роблю програм FB, періодично."
Друг: це не додаток. не в списку ... це черв'як

Як це працює? JavaScript shenanigans, коли людина натискає посилання?

facebook  security  javascript 
JCCyC
джерело

Відповіді:

31

Так, саме JavaScript. Я щойно зустрів такого хробака і намагався його розшифрувати.

У чому полягає актуальна проблема:

Нещодавній черв'як Facebook працює, завдяки чому користувачі відвідують сторінку, завдяки чому вони вставляють рядок JavaScript у свій адресний рядок і, отже, виконують його.

Отже, НІКОЛИ не копіюйте код JavaScript у свій адресний рядок. У цьому головна проблема. І не натискайте жодних посилань, яким ви не довіряєте. Або принаймні відкрийте ці посилання в новому вікні, використовуючи режим конфіденційності (Firefox) або режим анонімного перегляду (Chrome), щоб він не зміг отримати доступ до вашого сеансу Facebook.

Що зробили наші хакери, щоб люди не усвідомили, що роблять?

Уникнення сценарію

Рядок, який ви копіюєте в рядок URL, здебільшого посилається на інший JavaScript, який виконується. Цей сценарій насправді розшифровується в сутності. Таким чином, замість використання символів рядків, весь сценарій був укладений у рядок і уникнути, щоб ніхто не міг прочитати його в першу чергу.

Наприклад, якби у мене була дуже шкідлива функція, я б уникнув її, і користувач побачив би лише:

функція% 20тест% 28% 29% 20% 7B% 20alert% 20% 28% 22LOL% 22% 29% 3B% 20% 7D

і без нагляду це було б

функціональний тест () {сигнал ("LOL"); }

Отже, сценарій демонструє "самі" перед виконанням.

Заблукаючи це

Тепер це стає некрасивим: перед тим, як уникнути цього, злий код JavaScript затуманився, назви функцій типу _____xі змінних, як aLDIWEJ. Це все ще має сенс для JavaScript, але він абсолютно не читабельний для людей. Знову це робиться, щоб замаскувати наміри наших хакерів у Facebook.

На даний момент код міг виглядати приблизно так:

введіть тут опис зображення

Що робить сценарій

Що ж, цей сценарій робить, це прийняти ваш поточний сеанс у Facebook. Оскільки ви ввійшли на сайт, він може зробити все, що вам імені. Наприклад, це те, що він може робити через API Facebook:

  • створюючи подію на кшталт "OMG, я бачу, хто мене переслідував!"
  • базікати з людьми
  • розміщення оновлень статусу
  • тощо.

Все це відбувається, зателефонувавши на деякі сторінки API Facebooks (деякі сторінки PHP, я забув).

слхк
джерело
5

Словом ... це вірус ... як і будь-який інший. Метод, який він використовує для реплікації, - це робити публікації у вашому обліковому записі після виконання з чужої сторінки. Залежно від браузера та / або операційної системи, яку ви використовуєте, та вразливостей, які у вас є, все можливе. В основному, коли сценарій працює у вашому веб-переглядачі (який може починатися простим клацанням), він по черзі використовує ваші кешовані облікові дані, щоб створювати публікації на вашій сторінці ..., що містить те саме / подібне посилання, на яке ви натискали спочатку.

Якщо не вимкнути javascript / flash / і купу інших речей (що вимагає facebook), ви не зможете захистити себе від таких подвигів.

Швидка та брудна робота навколо ... перш ніж натиснути будь-які посилання в публікаціях інших людей ... подивіться, куди йде мова. Уникайте будь-яких посилань, які закінчуються хеш-позначкою ("#") або мають якусь посилання на JavaScript ... або не мають до неї жодного фактичного посилання. (тобто не відображається до жодної URL-адреси)

Або ви завжди можете скористатися моїм підходом ... і уникнути facebook / щебетати / тощо ... повністю. Мені поки що не знайдено нічого в тій службі, якій я б призначив будь-яку цінність чи імпортерів. Друзі та родина знають, як надіслати електронну пошту ... а ще краще ... забрати телефон. (просто моя думка про те, що це варто)

TheCompWiz
джерело
1
не дуже точний ... Є безліч способів захистити себе від цього. Наприклад, ви можете використовувати плагін, як NoScript, щоб не виконувати JavaScript. Ви можете відкрити посилання в новому вікні, використовуючи режим конфіденційності / режим анонімного перегляду, і нове вікно не матиме доступу до вашої сесії у Facebook. Якщо ваша безпека покладається на те, щоб просто уникати підозрілих посилань, це не дуже ефективно. Якщо ви замість цього правильно використовуєте інструменти безпечного перегляду, вам не доведеться жити, боячись того, що ховається за кожен клік посилання.
Брайан Шрот
@Brian Schroth: Як я вже говорив у своєму дописі, "не вимкнено JavaScript / flash / ...." NoScript робить саме це. Ви вірно вважаєте, що лише перегляд цілі посилання не вбереже вас від багатьох подвигів ... Режим анонімного перегляду та подібне не захистить вас від зараження вірусом ... а також спричинить проблеми при спробі дотримуватися посилань між сеансами. По правді ... люди повинні жити, боячись того, що лежить поза ланками. Їм слід замислитися, щоб подумати над тим, на що вони клацають.
TheCompWiz
1
NoScript не відключає Javascript. Він забезпечує дрібний контроль над тим, що робить JavaScript, а що не виконує. Ваша відповідь означає, що якщо ви "відключите Javascript", ви більше не можете використовувати Facebook. Але якщо ви використовуєте NoScript, ви можете дозволити сценарії facebook.com, залишаючись захищеними від Javascript якихось випадкових зловмисних програм.
Брайан Шрот
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.