Bir Facebook solucanı tam olarak nasıl çalışıyor?

27

Başlangıçta bir FB arkadaşımın kötü niyetli bir bağlantı yaydığını varsaymıştım çünkü masum bir uygulamayı kabul etmişti ve ayrıcalıklar vermişti, ama böyle olmadığını söylüyor. Değişim bakın:

Arkadaşım: "Benden aldığın linke tıklamayın! Virüs bulaşmış! Ben onu aldım (isim değiştirildi) !!! Üzgünüm! ******Etrafımda durmalıyım !"
Ben: "Bir FB uygulamasını kabul ettiniz. Yapmanız gereken tek şey Hesap -> Gizlilik ayarları -> Uygulamalar ve web sitelerine gitmek ve suçlu uygulamayı kabul etmemeniz. Bu yüzden FB uygulamaları yapmam, dönem."
Arkadaş: Bu bir uygulama değil. Listede yok ... bir kurtçuk

Bu nasıl çalışıyor? Kişi bağlantıyı tıkladığında JavaScript shenanigans?

facebook  security  javascript 
JCCyC
kaynak

Yanıtlar:

31

Evet, tam olarak JavaScript. Sadece böyle bir solucanla tanıştım ve onu çözmeye çalıştım.

Asıl sorun nedir:

Son zamanlarda çıkan Facebook solucanı, kullanıcıların bir sayfayı ziyaret etmelerini sağlayarak çalışanların adres çubuğuna JavaScript dizesini eklemelerini ve bu nedenle çalıştırmalarını sağlar.

Bu yüzden, ASLA bazı JavaScript kodlarını adres çubuğunuza kopyalamayın. Asıl sorun bu. Ve güvenmediğiniz bağlantıları tıklamayın. Veya en azından Gizlilik Modunu (Firefox) veya Gizli modunu (Chrome) kullanarak yeni bir pencerede açarak Facebook oturumunuza erişemeyecektir.

Bilgisayar korsanlarımız, insanların ne yaptıklarını anlamalarını sağlamak için ne yaptı?

Senaryodan kaçmak

URL çubuğuna kopyaladığınız dize çoğunlukla yürütülen başka bir JavaScript’e bağlanır. Bu komut dosyası aslında varlıklara dönüştürülür. Dize karakterleri kullanmak yerine, tüm script bir dizgeye konuldu ve kaçtı, böylece hiç kimse ilk önce onu okuyamıyordu.

Örneğin, çok kötü niyetli bir fonksiyonum olsaydı, ondan kaçardım ve kullanıcı sadece şunu görecekti:

işlev% 20Test% 28,% 29,% 20,% 7B% 20alert% 20,% 28,% 22LOL% 22% 29% 3B% 20% 7D

ve çıkmamış olacak

fonksiyon testi () {alert ("LOL"); }

Bu nedenle komut dosyası çalıştırılmadan önce "kendini" çıkarır.

Şaşırtıyor

Şimdi çirkinleşiyor: Kaçmadan önce kötü JavaScript kodu, gibi fonksiyon isimleri _____xve benzeri değişkenlerle karıştırılıyor aLDIWEJ. Bu, JavaScript için hala mantıklı geliyor, ancak insanlar için tamamen okunamıyor. Bu, yine Facebook korsanlarımızın niyetlerini maskelemek için yapılır.

Bu noktada, kod şöyle bir şeye benzeyebilirdi:

görüntü tanımını buraya girin

Senaryo ne yapar

Peki, bu senaryo ne yapıyor, şu anki Facebook oturumuna girmek. Siteye giriş yapmış olduğunuz için adınızdaki her şeyi yapabilir. Örneğin, Facebook'un API'sı aracılığıyla yapabileceği şeyler:

  • "OMG Kimin beni takip ettiğini görebilirim!" gibi bir etkinlik yarattı !
  • insanlarla sohbet
  • durum güncellemeleri gönderme
  • vb.

Bunların hepsi Facebook'un bazı API sayfalarını (bazı PHP sayfalarını, hangisini unuttuğumu) arayarak olur.

slhck
kaynak
5

Kısacası ... bu bir virüs ... diğerleri gibi. Kendi kendini çoğaltmak için kullandığı yöntem, başka birinin sayfasından çalıştırıldıktan sonra hesabınıza posta göndermektir. Kullandığınız tarayıcıya ve / veya işletim sistemine ve sahip olduğu güvenlik açıklarına bağlı olarak her şey mümkündür. Temel olarak, komut dosyası tarayıcınızın içinde çalıştığında (basit bir tıklama ile başlayabilir) sırayla, sayfanızda başlangıçta tıklattığınız / benzer bağlantıyı içeren ... yazılar yayınlamak için önbelleğe alınmış kimlik bilgilerinizi kullanır.

Javascript / flash / ve bir sürü başka şeyi (facebook tarafından gerekli) devre dışı bırakmak yerine, kendinizi bu tür istismarlardan koruyamazsınız.

Çabuk ve kirli bir çalışma ... başkalarının gönderilerindeki herhangi bir bağlantıya tıklamadan önce ... nereye gittiğine bakın. Karma işareti ("#") ile biten veya bir tür javascript referansına sahip olan ... veya herhangi bir gerçek bağlantıya sahip olmayan bağlantılardan kaçının. (yani, hiçbir URL’ye gitmiyor gibi görünüyor)

Ya da her zaman benim yaklaşımımı alabilirsin ... ve facebook / twitter / etc ... 'dan tamamen uzak durabilirsin. Bu hizmetlerden herhangi birine, değer veya önem verdiğim herhangi bir şeyi bulamadım. Arkadaşlarınız ve aileniz telefonun nasıl e-postayla gönderileceğini ... veya daha iyilerini ... nasıl alacağını bilir. (sadece neye değer olduğuna dair fikrim var)

TheCompWiz
kaynak
1
tam olarak doğru değil ... kendini bundan korumanın birçok yolu var. Javascript'i çalıştırmamak için örneğin NoScript gibi bir eklenti kullanabilirsiniz. Bağlantıyı gizlilik modunu / gizli modunu kullanarak yeni bir pencerede açabilirsiniz; yeni pencerede facebook oturumunuza erişemez. Güvenliğiniz yalnızca şüpheli bağlantılardan kaçınmaya bağlıysa, çok etkili değildir. Bunun yerine, güvenli tarama araçlarını doğru kullanırsanız, her bağlantı tıklatmasının ötesinde neyin gizlendiğini görmek zorunda kalmazsınız.
Brian Schroth
@Brian Schroth: Yazımda belirttiğim gibi, "javascript / flash / ...." işlevini devre dışı bırakma kısa. Yalnızca bağlantının hedefine bakmanın sizi bir çok istismardan kurtaramayacağından haksızsınız ... Gizli mod ve bu tür bilgiler sizi virüs bulaşmasından koruyamaz ... ve ayrıca oturumlar arasındaki bağlantıları izlemeye çalışırken sorunlara neden olur. Gerçekte ... insanlar, bağlantıların ötesinde yatmaktan korkuyor olmalılar. Neye tıkladıklarını düşünmek için biraz zaman ayırmalılar.
TheCompWiz
1
NoScript Javascript'i devre dışı bırakmıyor. Javascript'in ne yaptığı ve çalışmadığı üzerinde hassas kontrol sağlar. Cevabınız, "Javascript'i devre dışı bırakmanız" durumunda, artık Facebook kullanamayacağınız anlamına gelir. Ancak NoScript kullanıyorsanız, bazı rasgele kötü amaçlı yazılım sitelerinin Javascript'lerinden korunmaya devam ederken facebook.com komut dosyalarına izin verebilirsiniz.
Brian Schroth
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.