Обработка смайликов «ВКонтакте» позволяла выполнить вредоносный код

Александр Панасенко 30 Октября 2015 - 09:37

...

Исследователь компании ONsec Дмитрий Бумов уже не раз находил уязвимости в социальной сети «ВКонтакте» и получал вознаграждения за свои находки. На этот раз Бумов нашел self-XSS баг в системе, при помощи которой социальная сеть обрабатывает отправку смайликов-эмодзи.

На данный момент уязвимость уже устранена, так как специалисты «ВКонтакте» отреагировали на проблему очень оперативно. Бумов обнаружил, что при копировании в окно сообщения Unicode символов, использующихся для обозначения эмодзи, туда же можно добавить вредоносный JavaScript. В частности, используя такую технику, можно заставить жертву репостить чужие записи, и она даже не узнает об этом, сообщает xakep.ru.

Чтобы проверить свою теорию в действии, Бумов прибег к простейшей социальной инженерии. В своем блоге и сообществе «ВКонтакте» он разместил запись, в которой рассказал, что «ВКонтакте» якобы появились секретные анимированные смайлы. Чтобы воспользоваться ими, пользователю предлагали скопировать Unicode символы из поста в окно отправки сообщения.

Внимательный пользователь заметил бы, что, в ходе копирования, в буфере, помимо Unicode, также оказывается некий скрипт, притом честно предупреждающий: «You hacked». Скрипт незаметно репостил запись о «секретных смайлах» из сообщества Бумова на страницу попавшегося на удочку пользователя. Что особенно интересно, для осуществления атаки, жертве даже не нужно было нажимать кнопку «Отправить», отсылая кому-то секретную анимацию, — скрипт срабатывал и без этого.

Изданию TJournal исследователь пояснил, что была одна хитрость. Если просто вставить в окно сообщения скрипт вида <script> malwarecode </script> ничего не произойдет: социальная сеть не станет выполнять код. Но если в сообщении так же содержатся Unicode-символы, которые нужно преобразовать в эмодзи, «ВКонтакте» выполнит данную операцию, а заодно обработает и скрипт.

По собственному признанию, Бумов обнаружил этот баг еще в 2014 году, но тогда не стал заниматься его проверкой и сообщать об этом администрации социальной сети. Теперь, когда у исследователя «дошли руки», он испытал теорию на практике, и запись о «секретных смайлах» за сутки набрала всего пару десятков репостов. Впрочем, их хватило для удачного теста.

Хотя обычно за подобные хитрости и применение социальной инженерии для атак «ВКонтакте» вознаграждения не выплачивает, на этот раз представители социальной сети решили сделать исключение. Хотя self-XSS, как правило, неопасны и тоже не участвуют в bug bounty, в данном случае Бумов продемонстрировал интересный вектор атаки, которой, к тому же, легко повторить. Исследователь сообщил, что ему перевели на счет символические $100.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 12 Сентября 2025 - 16:35

Целевые атаки Таргетированные атаки Домашние пользователи Корпорации

Борзохакеры Scattered LAPSUS$ Hunters 4.0 заявили, что отходят от дел

В телеграм-канале криминальной группировки Scattered LAPSUS$ Hunters 4.0 появилось неожиданное известие — прощальный привет с отсылкой к заявлению на хакерском форуме, в котором озвучено решение свернуть операции.

Насколько известно, в состав Scattered LAPSUS$ Hunters 4.0 входят бывшие участники Scattered Spider, LAPSUS$ и ShinyHunters — отсюда и столь причудливое название.

Дерзкие налетчики и бахвалы не объявлялись в Telegram трое суток, их фанатам оставалось только гадать о причинах столь долгого молчания. Заявление на BreachForums прояснило ситуацию: взяв паузу, авторы громких атак, по их словам, посоветовались с близкими и окончательно утвердились в намерении уйти в тень.

В постинге также сказано, что нашумевшие нападения на Salesforce, CrowdStrike, Google, производственные мощности Jaguar Land Rover, американские, французские и британские авиакомпании — лишь дымовая завеса, помогающая отвлечь всеобщее внимание от истинных целей кибергруппы.

Заявив об этом, хакеры не преминули лишний раз подразнить ФБР и ИБ-экспертов, упрекнув их в близорукости и тщеславии. По их утверждению, аресты по итогам расследований зачастую были ошибочными: они умышленно подставляли сторонних людей, но так, чтобы это не имело серьезных последствий.

Лес рубят — щепки летят, спецслужбы прекрасно знают эту пословицу, хотя родственников без вины виноватых автору поста искренне жаль (по крайне мере, так сказано). Вместе с тем он подчеркнул: многие инциденты еще не раскрыты, однако спасать козлов отпущения LAPSUS$ Hunters больше не будут.

В пространном заявлении встречаются и философские сентенции, которые могут говорить о том, что печально известные хвастуны и киберхулиганы, наконец, остепенились. Например, такие:

«Таланта и мастерства в наше время недостаточно, миром правят те, принимает решения и имеет власть».

В заключение LAPSUS$ Hunters пишут: их цели достигнуты, пришло время попрощаться. Накопленных миллионов достаточно, чтобы утешить самых недалеких соратников, остальные продолжат изучать и совершенствовать техническое наследие либо просто уйдут на покой.

Что это, действительно прощальный привет или очередная дымовая завеса, на сей раз в духе exit scam, покажет будущее.