Опера не спешит закрывать уязвимость

Опера не спешит закрывать уязвимость

Если вы считаете, что знакомы с языком HTML и принципами работы браузеров, попробуйте прямо сейчас ответить для себя на вопрос — может ли картинка вставленная через тег IMG сделать редирект той странице, на которой она вставлена? Странный вопрос, скажете Вы. Тем не менее ответ на него не такой однозначный «нет», как кажется на первый взгляд.

В браузере Опера это возможно, что даёт огромное поле деятельность по угону пользовательских аккаунтов, особенно с учетом того что уязвимость до сих пор не закрыта. А по заявлениям компании Опера — будет оставаться незакрытой еще неопределенное время.

В начале октября была обнаружена уязвимость в браузере Опера 12, которая позволяет через вставленную картинку и определенным образом отданные заголовки для нее перенаправлять посетителя на другой сайт. Атаке через эту уязвимость успели подвергунться крупнейшие сайты рунета, позволяющие вставлять картинки через УРЛ (например, rutracker — ссылка). Сайты, поддержкой которых занимаюсь я сам также были атакованы, пишет habrahabr.ru.

Как работает

Если в коде открываемой странице злоумышленник может разместить тэг вида:
<img src="http://evil.com/evil.png">
(где evil.com подконтрольный ему сервер)
и отдать при запросе http://evil.com/evil.png следующие заголовок:

Refresh: 0; url=data:application/internet-shortcut,[INTERNETSHORTCUT]%0D%0AURL=http://evil.com/

то браузер Опера не спросив и не предупредив пользователя, совершит переход по этому адресу.

А уже там может быть что угодно, начиная от формы ввода логина и пароля в оформлении атакуемого ресурса. В случае с моими сайтами — требовали ввести свой номер телефона (так и не понял, зачем им это было нужно).

Подвержены все сайты, которые позволяют пользователям вставлять свои картинки через УРЛ, а это возможно практически везде, начиная с форумов на phpbb, ЖЖ, Хабрахабра (!) и заканчивая письмами в mail.ru (где картинки в письме загружаются по умолчанию).

Официальный ответ Opera

В диалоге представителя Opera в России Ильи Шпанькова (shpankov) и администрации rutracker.org прозвучли следующие заявления:
«Как выяснилось, в Opera уязвимости нет и проблема не является результатом ошибок в браузере, но совместно с разработчиками Opera мы нашли решение, как избежать подобных проблем в дальнейшем, и это решение будет применено в ожидаемой скоро новой версии Opera 12.1»

А также привел слова технических специалистов Opera Software:
«У нас в Opera принято помогать сайтам, даже когда они делают что-то неправильно. Поэтому в Opera 12.10 мы отключим следование шорткатам в контенте, загружаемом внутри тега . Это именно то, что согласно ожиданиям веб-сайта должен делать браузер, хотя на самом деле такое поведение не описывается ни одним стандартом. Таким образом, мы сделаем то, что они хотят, очень скоро.»

Выводы

Представитель Опера, похоже, или совсем не понимает что такое безопасность браузера и не видит явной угрозы которую представляет данный баг. Или пытается сделать хорошую мину при плохой игре, т.к. лично от него врядли что-то зависит и ускорить исправление данного бага он не в силах, поэтому пытается сохранить лицо браузера в этой непростой ситуации.
Мне кажется, что человека, совсем уж ничего не понимающего в работе браузеров, не стали бы брать на такую должность, поэтому более чем уверен что его поведение идёт согласно второго сценария.

Что же касается ситуации в целом, то всё очень и очень грустно. Браузер Опера на данный момент занимает в РуНете порядка 15%, при этом открыто заявляется что «проблемы негров шерифа не волнуют» и переадресация сайтов черт знает куда без ведома пользователя «уязвимостью не является».
Явные же проблемы пользователей, разработчики почему то называют проблемами «владельцев сайтов». Хотя их продуктом пользуются не владельцы сайтов, а люди, чью личную информацию браузер Опера подвергает опасности.

Да, они заявляют что уязвимость исправлена в следующей версии браузера (12.10), но не называют даже примерных сроков ее релиза. А тем временем любой — даже не хакер — любой вообще человек, воспользовавшись информацией об этой уязвимости (опубликованной на днях на РуТрекере), может причинять реальные проблемы и страдания пользователям этого браузера.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru