20:00
13/4/2010

Ostatnio pisaliśmy o podatność typu Open Redirect w serwisie Nasza-Klasa.pl. Tym razem podobny błąd został znaleziony na YouTube.com. Jeden z użytkowników serwisu reddit.com połączył go z odrobiną social-engineeringu i okrasił phishingiem, dzięki czemu “zdobył” hasła tysięcy internautów.

Open Redirect w YouTube

Oryginalny link prezentujący podatność miał następującą postać:
http://www.youtube.com/redirect?username=digitalhook&q=http%3A%2F%2Fqwerjk.com%2Fsec%2Fyt%2Fverify_age%253Fnext_url%3D%25252Fwatch%253Fv%3DtFHtRDG4iwMm&video_id=qh23QLIvKrg&event=url_redirect
&url_redirect=True&usg=zBqNn1rhw2SkmpUR1_xs_Oi4ya0=

i przekierowywał użytkownika na podstawioną stronę:
http://qwerjk.com/sec/yt/verify_age%3Fnext_url=%252Fwatch%3Fv=tFHtRDG4iwMm

pod którą ujrzeć można fałszywy komunikat skłaniający użytkownika do podania swojego loginu i hasła:

Techniki social-engineering skłaniają użytkownika do zalogowania się na fałszywej stronie

Jeśli tylko ktoś się odważył to… na szczęście nic się nie stało, bo “atakujący” nie był tak naprawdę phisherem, a jedynie demonstrował podatność.

Liczba nabranych użytkowników i złowionych haseł

Statystyki autora fałszywki:

  • 25037 wejść na stronę główną
  • 7374 kliknięć na “chcę się zalogować”
  • 5986 kliknięć na “zaloguj” w formularzu

Obecnie to przekierowanie zostało zablokowane przez Google:

Google zablokowało to przekierowanie

ale dalej można tworzyć kolejne przekierowania:
http://www.youtube.com/redirect?username=piotrkonieczny&q=http%3A%2F%2Fniebezpiecznik.pl&video_id=9_PYdgwkxx0&event=url_redirect
&url_redirect=True&usg=AswqQ-IeWt1vkj0zr0E3RnLo27w=

Oto instrukcja video (koleś ma fatalny akcent, ale mam nadzieję, że jakoś przebrniecie):

W kontekście powyższego warto wspomnieć o Google Safebrowsing API, z którego korzysta Firefox, Safari i Chrome. O tym co jest brane pod uwagę przy ocenie czy dany URL to phishing, czy nie, możecie poczytać tutaj.

Przeczytaj także:

4 komentarzy

Dodaj komentarz
  1. Akcent terrorysty:D

  2. Redirect Notice
    The previous page is sending you to https://niebezpiecznik.pl.
    If you do not want to visit that page, you can return to YouTube.

  3. Mhm załatane już.

  4. Google Safebrowsing, czyli największy spyware w historii Internetu :-)
    Całość opiera się na hashach http://code.google.com/p/google-safe-browsing/wiki/Protocolv2Spec , które zachowują prywatność, gdy nie można na podstawie hasha odtworzyć oryginalnego URL. Problem w tym, że Google nie musi ich odtwarzać, bo indeksuje prawie cały Internet, więc nie jest problemem zrobić rainbow tables z indeksowanych URLów. A w tym przypadku Google wie o wszystkich stronach, które odwiedzają użytkownicy Firefoxa, Safari i Chrome.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.