Пиратские ссылки-мутанты обходят блокировки поисковой системы Яндекса

Татьяна Никитина 18 Мая 2021 - 15:25

...

Пиратские ссылки-мутанты обходят блокировки поисковой системы Яндекса

Распространители пиратского контента научились обходить блокировки, введенные поисковиками «Яндекса», Mail.ru Group и Rambler согласно меморандуму, принятому 2,5 года назад. По данным Group-IB, в текущем году в черный список были внесены 6 млн ссылок на пиратский контент; более 1 млн из них по-прежнему доступны в «Яндексе».

Упомянутый меморандум был принят действующими в России поисковиками в 2018 году. Он предполагает создание и ведение реестра источников пиратского контента и удаление соответствующих ссылок из поисковой выдачи в течение нескольких часов.

По словам экспертов, эта мера пресечения противоправной деятельности оказалась эффективной: с момента подписания меморандума «Яндекс» удалил из поисковой выдачи более 15 млн пиратских ссылок, в том числе 6 млн — за три месяца 2021 года. Однако со временем пираты научились отслеживать удаленные ссылки и автоматически генерировать дубли.

Проведенное в Group-IB исследование показало, что из 7309 доменов, внесенных в черный список за истекший период, 3684 все еще можно найти простым поиском. Кроме того, из 6 млн удаленных ссылок на пиратский контент 1 190 039 вернулись в поисковую выдачу.

Как оказалось, для обхода блокировок злоумышленники используют динамические ссылки (например, http://example[.]com/movie_name и http://example[.]com/movie_name_2), замену засветившегося домена другим, более низкого уровня, а также комбинацию обоих методов — исследователи называют такие ссылки «мутирующими». На настоящий момент выявлено 886 411 случаев использования ссылок-мутантов онлайн-кинотеатрами и 303 628 случаев — торрент-трекерами.

«Падение доходов заставляет онлайн-пиратов искать способы заработка, где главным препятствием являлся меморандум, однако он уже не может с прежней эффективностью фильтровать пиратский контент, — отметил Андрей Бусаргин, заместитель гендиректора Group-IB по защите от цифровых рисков. — Новые способы обхода меморандума несут в себе риски для индустрии легального распространения видеоконтента: если существующая версия меморандума будет принята в качестве законопроекта, в нем сохранятся лазейки для пиратского бизнеса, которые могут быть использованы для дальнейшего распространения «пиратки» через поисковую систему «Яндекса».

По данным Group-IB, объем рынка интернет-пиратства в России сократился с $87 млн в 2018 году до $59 млн в 2020 году. Однако в прошлом году количество запросов в поисковиках на просмотр бесплатных фильмов и сериалов увеличилось на 12% и составило 11,8 млрд — по всей видимости, из-за ограничений по ковиду. Основным источником трафика для пиратских онлайн-кинотеатров является поисковик «Яндекс» с долей до 90%.

По мнению экспертов, в борьбе с обходом блокировок нелегального контента могут помочь специализированные фильтры, способные фиксировать количество подозрительных ссылок-дублей, препятствовать попаданию пиратских доменов в поисковую выдачу и замедлять для них индексацию новых страниц. Следует также усовершенствовать алгоритмы поисковых систем — к примеру, ввести ограничение скорости поисковых роботов для сайтов, набравших 100 заблокированных страниц, и удалять их из выдачи, когда этот показатель перевалил за 200. Снизить индекс качества пиратских сайтов (ИКС), влияющий на позицию в результатах поиска, может помочь введение штрафов.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: