Iwo Graj, specjalista zajmujący się bezpieczeństwem usług sieciowych, znalazł drobną na pierwszy rzut oka usterkę w skryptach obsługujących reklamy emitowane przez serwery należące do sieci Gadu-Gadu. Jednak umiejętnie przygotowany atak, wymierzony w mniej świadomych zagrożeń użytkowników, mógłby tę usterkę zmienić w poważną lukę.
Komunikator Gadu-Gadu korzysta z protokołu HTTP, aby pobierać reklamy Flash. Prowadzące do nich odnośniki można wprowadzić do paska adresowego przeglądarki i w ten sposób wyświetlić reklamę. Jednak na tym nie koniec, ponieważ znajdujące się tam obiekty Flash przyjmują parametry pozwalające sterować ich zachowaniem.
Problem polega na możliwości wykorzystania systemów emitujących reklamy w celu przekierowania użytkownika do dowolnej witryny. Jego przyczyną jest brak filtrowania parametru clickTag przekazywanego do obiektów Flash zawierających reklamy. Warunkiem koniecznym do przeprowadzenia ataku jest pozyskanie przez potencjalnego napastnika poprawnego identyfikatora reklamy i nakłonienie użytkownika do kliknięcia w przesłany mu; np. w e-mailu lub za pomocą wiadomości GG – odnośnik w postaci:
http://adserver.gadu-gadu.pl/new/Images/11985?clickTag=http://mod.gg8-plus.pl/ Warto zauważyć, że wartość parametru clickTag może być zakodowana, aby zmylić internautę i nie pokazywać mu identyfikatora URL:
http://adserver.gadu-gadu.pl/new/Images/11983?clickTag=%68%74%74%70%3a%2f%2f%6d%6f%64%2e%67%67%38%2d%70%6c%75%73%2e%70%6c%2f
Wykorzystując wspomniany błąd, można preparować wiadomości poczty elektronicznej wysyłane od rzekomych reklamodawców i informować na przykład o konkursie z cennymi nagrodami. Gdyby odbiorca fałszywej wiadomości okazał się użytkownikiem Gadu-Gadu, to potencjalny napastnik mógłby nakłonić go do wprowadzenia identyfikatora użytkownika i hasła.
Oczywiście intruz musiałby wcześniej przygotować odpowiednią stronę przypominającą wyglądem webowy serwis GG i umieścić na niej formularz logowania. Witryna ta ukazywałaby się użytkownikowi po kliknięciu odwiedzonej reklamy emitowanej przez usługodawcę. Dzięki temu zabiegowi intruz uzyskałby dostęp do listy kontaktów użytkownika i poznał jego dane. Ataki tego typu znane są pod nazwą password harvesting fishing, czyli inaczej łowienie haseł.
Możliwy scenariusz to także wykorzystanie sieciowego robaka automatycznie rozsyłającego odnośniki do osób znalezionych na listach kontaktów. Odsyłacze te zawierałyby oczywiście odwołanie do reklamy z zaszytym łańcuchem kierującym do niebezpiecznej witryny kolekcjonującej wprowadzone identyfikatory i hasła i rozsyłającej kolejne zaproszenia do wzięcia udziału w fikcyjnym konkursie.
Źródło: tech.wp.pl
Komentarz
Qrix: Wyobraźcie sobie, że dostajecie link od nieznajomego właśnie w domenie http://adserver.gadu-gadu.pl – w niej reklama, czegoś niezwiązanego z Gadu-Gadu, a po kliknięciu w nią otwiera się strona w innej – obcej domenie i prosi Was o hasełko… Nie wiem jak duży procent ludzi dałoby się nabrać, sądzę, że to nie jest nic poważnego, bo nawet jeśli ktoś przeoczy nazwę domeny wyłudzającej dane, to równie dobrze mogę to zrobić tworząc domenę gadu-gadu.de albo gadu-gadu.pt i mimo wszystko rybki się załpią 🙂 oczywiście GG mogłoby błąd naprawić, skoro flash pozwala na otwieranie linków, to czemu to nie jest wpisane we flasha tylko generowane przez parametr? A co Wy o tym sądzicie?
Iwo Graj, specjalista zajmujący się bezpieczeństwem usług sieciowych, znalazł drobną na pierwszy rzut oka usterkę w skryptach obsługujących reklamy emitowane przez serwery należące do sieci Gadu-Gadu. Jednak umiejętnie przygotowany atak, wymierzony w mniej świadomych zagrożeń użytkowników, mógłby tę usterkę zmienić w poważną lukę.
Komunikator Gadu-Gadu korzysta z protokołu HTTP, aby pobierać reklamy Flash. Prowadzące do nich odnośniki można wprowadzić do paska adresowego przeglądarki i w ten sposób wyświetlić reklamę. Jednak na tym nie koniec, ponieważ znajdujące się tam obiekty Flash przyjmują parametry pozwalające sterować ich zachowaniem.
Problem polega na możliwości wykorzystania systemów emitujących reklamy w celu przekierowania użytkownika do dowolnej witryny. Jego przyczyną jest brak filtrowania parametru clickTag przekazywanego do obiektów Flash zawierających reklamy. Warunkiem koniecznym do przeprowadzenia ataku jest pozyskanie przez potencjalnego napastnika poprawnego identyfikatora reklamy i nakłonienie użytkownika do kliknięcia w przesłany mu; np. w e-mailu lub za pomocą wiadomości GG - odnośnik w postaci:http://adserver.gadu-gadu.pl/new/Images/11985?clickTag=http://mod.gg8-plus.pl/ Warto zauważyć, że wartość parametru clickTag może być zakodowana, aby zmylić internautę i nie pokazywać mu identyfikatora URL:http://adserver.gadu-gadu.pl/new/Images/11983?clickTag=%68%74%74%70%3a%2f%2f%6d%6f%64%2e%67%67%38%2d%70%6c%75%73%2e%70%6c%2f Wykorzystując wspomniany błąd, można preparować wiadomości poczty elektronicznej wysyłane od rzekomych reklamodawców i informować na przykład o konkursie z cennymi nagrodami. Gdyby odbiorca fałszywej wiadomości okazał się użytkownikiem Gadu-Gadu, to potencjalny napastnik mógłby nakłonić go do wprowadzenia identyfikatora użytkownika i hasła.Oczywiście intruz musiałby wcześniej przygotować odpowiednią stronę przypominającą wyglądem webowy serwis GG i umieścić na niej formularz logowania. Witryna ta ukazywałaby się użytkownikowi po kliknięciu odwiedzonej reklamy emitowanej przez usługodawcę. Dzięki temu zabiegowi intruz uzyskałby dostęp do listy kontaktów użytkownika i poznał jego dane. Ataki tego typu znane są pod nazwą password harvesting fishing, czyli inaczej łowienie haseł.
Możliwy scenariusz to także wykorzystanie sieciowego robaka automatycznie rozsyłającego odnośniki do osób znalezionych na listach kontaktów. Odsyłacze te zawierałyby oczywiście odwołanie do reklamy z zaszytym łańcuchem kierującym do niebezpiecznej witryny kolekcjonującej wprowadzone identyfikatory i hasła i rozsyłającej kolejne zaproszenia do wzięcia udziału w fikcyjnym konkursie.
Źródło: tech.wp.pl
KomentarzQrix: Wyobraźcie sobie, że dostajecie link od nieznajomego właśnie w domenie http://adserver.gadu-gadu.pl - w niej reklama, czegoś niezwiązanego z Gadu-Gadu, a po kliknięciu w nią otwiera się strona w innej - obcej domenie i prosi Was o hasełko... Nie wiem jak duży procent ludzi dałoby się nabrać, sądzę, że to nie jest nic poważnego, bo nawet jeśli ktoś przeoczy nazwę domeny wyłudzającej dane, to równie dobrze mogę to zrobić tworząc domenę gadu-gadu.de albo gadu-gadu.pt i mimo wszystko rybki się załpią :) oczywiście GG mogłoby błąd naprawić, skoro flash pozwala na otwieranie linków, to czemu to nie jest wpisane we flasha tylko generowane przez parametr? A co Wy o tym sądzicie?
- Luka w systemie reklam GG
