20:00
13/4/2010

Ostatnio pisaliśmy o podatność typu Open Redirect w serwisie Nasza-Klasa.pl. Tym razem podobny błąd został znaleziony na YouTube.com. Jeden z użytkowników serwisu reddit.com połączył go z odrobiną social-engineeringu i okrasił phishingiem, dzięki czemu “zdobył” hasła tysięcy internautów.

Open Redirect w YouTube

Oryginalny link prezentujący podatność miał następującą postać:
http://www.youtube.com/redirect?username=digitalhook&q=http%3A%2F%2Fqwerjk.com%2Fsec%2Fyt%2Fverify_age%253Fnext_url%3D%25252Fwatch%253Fv%3DtFHtRDG4iwMm&video_id=qh23QLIvKrg&event=url_redirect
&url_redirect=True&usg=zBqNn1rhw2SkmpUR1_xs_Oi4ya0=

i przekierowywał użytkownika na podstawioną stronę:
http://qwerjk.com/sec/yt/verify_age%3Fnext_url=%252Fwatch%3Fv=tFHtRDG4iwMm

pod którą ujrzeć można fałszywy komunikat skłaniający użytkownika do podania swojego loginu i hasła:

Techniki social-engineering skłaniają użytkownika do zalogowania się na fałszywej stronie

Jeśli tylko ktoś się odważył to… na szczęście nic się nie stało, bo “atakujący” nie był tak naprawdę phisherem, a jedynie demonstrował podatność.

Liczba nabranych użytkowników i złowionych haseł

Statystyki autora fałszywki:

  • 25037 wejść na stronę główną
  • 7374 kliknięć na “chcę się zalogować”
  • 5986 kliknięć na “zaloguj” w formularzu

Obecnie to przekierowanie zostało zablokowane przez Google:

Google zablokowało to przekierowanie

ale dalej można tworzyć kolejne przekierowania:
http://www.youtube.com/redirect?username=piotrkonieczny&q=http%3A%2F%2Fniebezpiecznik.pl&video_id=9_PYdgwkxx0&event=url_redirect
&url_redirect=True&usg=AswqQ-IeWt1vkj0zr0E3RnLo27w=

Oto instrukcja video (koleś ma fatalny akcent, ale mam nadzieję, że jakoś przebrniecie):

W kontekście powyższego warto wspomnieć o Google Safebrowsing API, z którego korzysta Firefox, Safari i Chrome. O tym co jest brane pod uwagę przy ocenie czy dany URL to phishing, czy nie, możecie poczytać tutaj.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

4 komentarzy

Dodaj komentarz
  1. Akcent terrorysty:D

  2. Redirect Notice
    The previous page is sending you to https://niebezpiecznik.pl.
    If you do not want to visit that page, you can return to YouTube.

  3. Mhm załatane już.

  4. Google Safebrowsing, czyli największy spyware w historii Internetu :-)
    Całość opiera się na hashach http://code.google.com/p/google-safe-browsing/wiki/Protocolv2Spec , które zachowują prywatność, gdy nie można na podstawie hasha odtworzyć oryginalnego URL. Problem w tym, że Google nie musi ich odtwarzać, bo indeksuje prawie cały Internet, więc nie jest problemem zrobić rainbow tables z indeksowanych URLów. A w tym przypadku Google wie o wszystkich stronach, które odwiedzają użytkownicy Firefoxa, Safari i Chrome.

Odpowiadasz na komentarz Fabian

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: