Chính xác thì một con sâu Facebook hoạt động như thế nào?

27

Ban đầu tôi đã cho rằng một người bạn FB của tôi đã phát tán một liên kết độc hại vì cô ấy đã vô tình chấp nhận một ứng dụng và cho nó những đặc quyền, nhưng cô ấy nói rằng đó không phải là trường hợp. Xem phần trao đổi:

Người bạn: "Đừng nhấp vào liên kết bạn nhận được từ tôi! Nó bị nhiễm! Tôi đã nhận nó từ (tên được xử lý lại) !!! Tôi xin lỗi! Tôi phải dừng lại ******!"
Tôi: "Bạn đã chấp nhận một ứng dụng FB. Tất cả những gì bạn phải làm là vào Tài khoản -> Cài đặt bảo mật -> Ứng dụng và trang web và không chấp nhận ứng dụng vi phạm. Đó là lý do tại sao tôi không làm ứng dụng FB, định kỳ."
Bạn: nó không phải là một ứng dụng. không có trong danh sách ... đó là một con sâu

Làm thế nào mà làm việc? JavaScript shenanigans khi người đó nhấp vào liên kết?

facebook security javascript

— JCCyC
nguồn

31

Vâng, chính xác là JavaScript. Tôi vừa gặp một con sâu như vậy và cố gắng giải mã nó.

Vấn đề thực sự là gì:

Con sâu gần đây của Facebook hoạt động bằng cách khiến người dùng truy cập vào một trang, điều này khiến họ chèn một chuỗi JavaScript vào thanh địa chỉ của họ và do đó thực thi nó.

Vì vậy, KHÔNG ĐƯỢC sao chép một số mã JavaScript vào thanh địa chỉ của bạn. Đó là vấn đề chính. Và đừng nhấp vào bất kỳ liên kết nào bạn không tin tưởng. Hoặc ít nhất là mở các liên kết đó trong một cửa sổ mới bằng Chế độ bảo mật (Firefox) hoặc chế độ Ẩn danh (Chrome) để nó không thể truy cập phiên Facebook của bạn.

Tin tặc của chúng ta đã làm gì để khiến mọi người không nhận ra họ đang làm gì?

Thoát khỏi kịch bản

Chuỗi bạn sao chép vào thanh URL chủ yếu liên kết đến một JavaScript khác được thực thi. Kịch bản này thực sự được giải mã thành các thực thể. Vì vậy, thay vì sử dụng các ký tự chuỗi, toàn bộ tập lệnh đã được đặt thành một chuỗi và thoát ra để không có người nào có thể đọc nó ở vị trí đầu tiên.

Ví dụ: nếu tôi có một chức năng rất độc hại, tôi sẽ thoát nó và người dùng sẽ chỉ thấy:

chức năng% 20test% 28% 29% 20% 7B% 20alert% 20% 28% 22LOL% 22% 29% 3B% 20% 7D

và không được giải thoát nó sẽ được

kiểm tra chức năng () {alert ("LOL"); }

Do đó, đoạn script không hiển thị "chính nó" trước khi nó được thực thi.

Làm phiền nó

Bây giờ nó đang trở nên xấu xí: Trước khi thoát khỏi nó, mã JavaScript xấu bị xáo trộn, với các tên hàm _____xvà các biến như aLDIWEJ. Điều này vẫn có ý nghĩa đối với JavaScript, nhưng nó hoàn toàn không thể đọc được đối với con người. Điều này được thực hiện, một lần nữa, để che giấu ý định của tin tặc Facebook của chúng tôi.

Tại thời điểm này, mã có thể trông giống như thế này:

nhập mô tả hình ảnh ở đây

Kịch bản làm gì

Vâng, những gì kịch bản này làm là mất phiên Facebook hiện tại của bạn. Bởi vì bạn đã đăng nhập vào trang web, nó có thể làm bất cứ điều gì trong tên của bạn. Ví dụ: những điều nó có thể làm thông qua API của Facebook là:

tạo ra một sự kiện như "OMG tôi có thể thấy ai đã rình rập tôi!"
trò chuyện với mọi người
đăng cập nhật trạng thái
v.v.

Tất cả điều này xảy ra bằng cách gọi một số trang API của Facebook (một số trang PHP, tôi quên mất).

— slhck
nguồn

5

Nói tóm lại ... đó là một loại virus ... giống như bất kỳ loại nào khác. Phương pháp mà nó sử dụng để sao chép chính nó là tạo bài đăng trên tài khoản của bạn sau khi được thực thi từ trang của người khác. Tùy thuộc vào trình duyệt và / hoặc hệ điều hành bạn đang sử dụng và các lỗ hổng mà nó có, mọi thứ đều có thể. Về cơ bản, một khi tập lệnh đang chạy trong trình duyệt của bạn (có thể bắt đầu từ một nhấp chuột đơn giản), đến lượt nó sử dụng thông tin đăng nhập được lưu trong bộ nhớ cache của bạn để tạo bài đăng trên trang của bạn ... có chứa liên kết tương tự / tương tự mà bạn đã nhấp vào ban đầu.

Không thể vô hiệu hóa javascript / flash / và một loạt những thứ khác (được facebook yêu cầu), bạn sẽ không thể tự bảo vệ mình khỏi những khai thác như vậy.

Công việc nhanh chóng và bẩn thỉu ... trước khi bạn nhấp vào bất kỳ liên kết nào trong bài đăng của người khác ... hãy nhìn vào nơi nó sẽ đến. Tránh mọi liên kết kết thúc bằng dấu băm ("#") hoặc có một số loại tham chiếu javascript ... hoặc không có bất kỳ liên kết thực tế nào với nó. (tức là không xuất hiện để đi tới bất kỳ URL nào)

Hoặc bạn luôn có thể thực hiện phương pháp của tôi ... và tránh hoàn toàn facebook / twitter / vv .... Tôi chưa tìm thấy bất cứ điều gì trên bất kỳ dịch vụ nào mà tôi sẽ chỉ định bất kỳ giá trị hoặc nhà nhập khẩu nào. Bạn bè & Gia đình biết cách gửi email ... hoặc tốt hơn - vẫn ... nhấc điện thoại. (chỉ là ý kiến của tôi cho những gì nó có giá trị)

— TheCompWiz
nguồn

1

không thực sự chính xác ... có rất nhiều cách để bảo vệ bạn khỏi điều này. Bạn có thể sử dụng một plugin như NoScript chẳng hạn, để không thực thi javascript. Bạn có thể mở liên kết trong một cửa sổ mới bằng chế độ riêng tư / chế độ ẩn danh và cửa sổ mới sẽ không có quyền truy cập vào phiên facebook của bạn. Nếu bảo mật của bạn phụ thuộc vào việc chỉ tránh các liên kết đáng ngờ, thì nó không hiệu quả lắm. Thay vào đó, nếu bạn sử dụng các công cụ duyệt web an toàn một cách chính xác, bạn sẽ không phải lo sợ về những gì ẩn giấu sau mỗi lần nhấp vào liên kết.

— Brian Schroth

@Brian Schroth: Như tôi đã nói trong bài viết của mình, "thiếu việc vô hiệu hóa javascript / flash / ...." NoScript thực hiện chính xác điều đó. Bạn đúng rằng chỉ nhìn vào mục tiêu của liên kết sẽ không cứu bạn khỏi nhiều lần khai thác ... Chế độ ẩn danh & như vậy sẽ không bảo vệ bạn khỏi bị nhiễm vi-rút ... và cũng gây ra sự cố khi cố gắng theo dõi các liên kết giữa các phiên. Trong thực tế ... mọi người nên sống trong nỗi sợ hãi về những gì nằm ngoài liên kết. Họ nên dành một chút thời gian để suy nghĩ về những gì họ đang nhấp vào.

— TheCompWiz

1

NoScript không vô hiệu hóa Javascript. Nó cung cấp quyền kiểm soát chi tiết đối với những gì javascript làm và không thực thi. Câu trả lời của bạn ngụ ý rằng nếu bạn "vô hiệu hóa Javascript", bạn không thể sử dụng Facebook nữa. Nhưng nếu bạn sử dụng NoScript, bạn có thể cho phép các tập lệnh facebook.com trong khi vẫn được bảo vệ khỏi Javascript của một số phần mềm độc hại ngẫu nhiên.

— Brian Schroth