13/4/2010
Ostatnio pisaliśmy o podatność typu Open Redirect w serwisie Nasza-Klasa.pl. Tym razem podobny błąd został znaleziony na YouTube.com. Jeden z użytkowników serwisu reddit.com połączył go z odrobiną social-engineeringu i okrasił phishingiem, dzięki czemu “zdobył” hasła tysięcy internautów.
Open Redirect w YouTube
Oryginalny link prezentujący podatność miał następującą postać:
http://www.youtube.com/redirect?username=digitalhook&q=http%3A%2F%2Fqwerjk.com%2Fsec%2Fyt%2Fverify_age%253Fnext_url%3D%25252Fwatch%253Fv%3DtFHtRDG4iwMm&video_id=qh23QLIvKrg&event=url_redirect
&url_redirect=True&usg=zBqNn1rhw2SkmpUR1_xs_Oi4ya0=
i przekierowywał użytkownika na podstawioną stronę:
http://qwerjk.com/sec/yt/verify_age%3Fnext_url=%252Fwatch%3Fv=tFHtRDG4iwMm
pod którą ujrzeć można fałszywy komunikat skłaniający użytkownika do podania swojego loginu i hasła:
Jeśli tylko ktoś się odważył to… na szczęście nic się nie stało, bo “atakujący” nie był tak naprawdę phisherem, a jedynie demonstrował podatność.
Statystyki autora fałszywki:
- 25037 wejść na stronę główną
- 7374 kliknięć na “chcę się zalogować”
- 5986 kliknięć na “zaloguj” w formularzu
Obecnie to przekierowanie zostało zablokowane przez Google:
ale dalej można tworzyć kolejne przekierowania:
http://www.youtube.com/redirect?username=piotrkonieczny&q=http%3A%2F%2Fniebezpiecznik.pl&video_id=9_PYdgwkxx0&event=url_redirect
&url_redirect=True&usg=AswqQ-IeWt1vkj0zr0E3RnLo27w=
Oto instrukcja video (koleś ma fatalny akcent, ale mam nadzieję, że jakoś przebrniecie):
W kontekście powyższego warto wspomnieć o Google Safebrowsing API, z którego korzysta Firefox, Safari i Chrome. O tym co jest brane pod uwagę przy ocenie czy dany URL to phishing, czy nie, możecie poczytać tutaj.
Akcent terrorysty:D
Redirect Notice
The previous page is sending you to https://niebezpiecznik.pl.
If you do not want to visit that page, you can return to YouTube.
Mhm załatane już.
Google Safebrowsing, czyli największy spyware w historii Internetu :-)
Całość opiera się na hashach http://code.google.com/p/google-safe-browsing/wiki/Protocolv2Spec , które zachowują prywatność, gdy nie można na podstawie hasha odtworzyć oryginalnego URL. Problem w tym, że Google nie musi ich odtwarzać, bo indeksuje prawie cały Internet, więc nie jest problemem zrobić rainbow tables z indeksowanych URLów. A w tym przypadku Google wie o wszystkich stronach, które odwiedzają użytkownicy Firefoxa, Safari i Chrome.