Galaxy, Nexus, Xperia, Optimus o altri dispositivi "robotici"? Che si tratti di configurare il telefono o tablet, installare una ROM "cucinata" o scambiare quattro chiacchiere sui migliori dispositivi, la community Android si incontra qui.
Mentre leggevo un articolo di TechCrunch su Flipboard (sezione technology), tappando su un link interno ad un articolo, si è aperto chrome e sono stato reindirizzato verso un sito che mi avvisa che ho fatto un sacco di cose cattive
Una volta aperta la pagina che vedete qui sopra, nel tentare di chiuderla tornando indietro, Flipboard va in crash (compare popup di avviso) e l'area del display occupata dall'app diventa nera ma mantiene la barra bianca in alto.
mentre il paragrafo della seconda pagina dell'articolo su Flipboard in cui è presente il link biricchino è questo:
TechCrunch reports that Fling, which was initially a small pet project of social startup Unii, is being broken off from the main company in order to allow for funding aimed exclusively at the photo app.
Questa è la pagina dell'articolo su Flipboard
Ho salvato l'articolo su Pocket dall'interfaccia di Flipboard e visitando il link da PC con Ubuntu, non accade nulla. Il fenomeno si è verificato con un Note 2 no root, no app market alternativi, in poche parole tengo un comportamento da manuale del bravo utente.
ho riavviato il dispositivo e il fenomeno non si verifica più. Eppure prima del riavvio, per avere l'assoluta certezza che non fosse un episodio isolato, ho provato per ben 5 volte ho chiuso Flipboard dai task attivi e dopo averlo riavviato ho visitato la pagina incriminata: tutte le volte il redirect si è verificato!
boh
Non credo sia colpa di Flipboard o del sito. In questi giorni ho notato più volte quell'avviso, sia sul portatile di mia sorella con windows, sia sul mio con ubuntu.
Dopo poche pagine di navigazione, ogni link riportava a quell'avviso, con un bel pop-up persistente che ti impediva di fare qualunque cosa, a parte terminare firefox o chrome da task manager. Dopo aver pulito il portatile windows col removal tool di kaspersky, la situazione è tornata normale, ma il giorno dopo era tornato. Sul portatile con ubuntu invece non è attecchito, mi è bastato chiudere la finestra di firefox (che tra l'altro era in navigazione anonima) per risolvere.
Altri miei amici mi hanno detto che è successo anche a loro, e un mio collega ha detto che navigando a casa (a Mestre) gli succede continuamente, mentre nella rete dell'università (a Padova) invece no. Sospettiamo siano stati infettati i server di rete di questa zona... Tu dove ti trovavi quando è successo?
Ganondolf ha scritto:
Seguendo un suggerimento su quel sito, ho controllato i DNS del mio router, e ho trovato un intruso: 5.175.225.136
era quello che temevo/sospettavo, una manomissione del DNS nel router o addirittura sui root server. Ciò che mi oggi mi ha fatto pensare al router dopo aver letto che anche ad altri era accaduto, era che il problema si era verificato con il telefono connesso tramite wifi (no 3G). Ora controllo il mio router per capire se anche io ho avuto visite o se la modifica avviene dall'interno della propria rete attraverso i nostri browser.
verifica effettuata, i DNS sono quelli di OpenDNS e sono al loro solito posto. Il fatto che nel tuo sia spuntato quell'indirizzo è un poco preoccupante, per caso hai la funzione uPnP attiva?
io l'ho disattivato da tempo visto che presenta dei problemi di sicurezza. Ci sono dei test in rete per verificare eventuali vulnerabilità, proverei quello del buon Steve Gibson: https://www.grc.com/su/UPnP-Rejected.htm
Il test non ha verificato vulnerabilità (i pacchetti non hanno risposto), ma almeno per il momento stacco l'uPnP finché ci sono sti problemi. Grazie per la segnalazione
- questo fenomeno sembra coinvolgere sia PC che dispositivi mobili
- sembrerebbe (condizionale d'obbligo fino a prova contraria) che non si verifichi tramite connessione 3G
- colpisce la risoluzione DNS e in qualche modo il traffico viene rediretto su quel sito
- non lo imputerei ad un virus presente sui terminali/computer
- vengono misteriosamente modificate (nel caso di Ganondolf) le impostazioni del router
L'impressione che si ricava è della presenza di codice inserito nelle pagine che si visitano il quale sembra riesca in qualche modo ad agire dall'interno della rete da cui si naviga. Forse uno zero day che colpisce i sistemi operativi dei router il cui veicolo sono i browser a bordo dei dispositivi? E questo codice da dove viene, che siano infetti i siti che visitiamo?
Che ISP hai? Io ho telecom. Dopo sento il mio collega per i suoi dettagli.
Non credo che il codice sia su un qualche sito specifico, dovrebbe essere fin troppo diffuso... La navigazione mia e di mia sorella hanno in comune solo la pagina principale di google. A meno che non sia infetta quella! Ma ne dubito.
Potreste fornirmi un link diretto (quello sul sito legittimo che effettua il redirect)?
P.S.: Il caro vecchio urlquery, nella sezione HTTP Transactions (di una precedente analisi relativa all'IP malevolo inserito nel router), riporta un simile redirect:
Analsi di qualche giorno fa trovata su di un blog: QUI.
Probabilmente i domini nocivi sono relativi a siti compromessi. L'attaccante ha modificato i server DNS dei servizi e creato, per ciascuno di essi, il sottodominio utilizzato per la truffa:
law-enforcement-var.nomedominio.tld^
I dati WHOIS relativi all'ip del server tedesco fanno riferimento ad un proprietario russo:
Ganondolf ha scritto:Io ho un d-link, non ho modello sotto mano ma è simile al dkt-810. Firmware stock.
Al tuo posto, in caso non lo avessi già fatto, cambierei i dati d'accesso all'interfaccia di configurazione del router.
Al3x ha scritto:L'impressione che si ricava è della presenza di codice inserito nelle pagine che si visitano il quale sembra riesca in qualche modo ad agire dall'interno della rete da cui si naviga. Forse uno zero day che colpisce i sistemi operativi dei router il cui veicolo sono i browser a bordo dei dispositivi? E questo codice da dove viene, che siano infetti i siti che visitiamo?
E' possibile accedere all'interfaccia di configurazione di molti router sfruttando un iframe incoporato in una qualsiasi pagina caricata dal browser dell'utente. L'iframe può essere invisibile; questo contatta il router al suo indirizzo locale proprio della LAN ed impartisce, tramite i parametri nell'url, le credenziali d'accesso (di default o bruteforce tramite breve lista) e le impostazioni da alterare (in questo specifico caso i server dns utilizzati dal router):
Ganondolf ha scritto:C'è modo di impedire al router di ricevere/ascoltare questi iframe?
No, perché agli occhi del router le richieste provengono dal browser dell'utente e sono identiche a quelle che quest'ultimo potrebbe effettuare navigando attraverso l'interfaccia grafica.
Ciò che puoi fare per proteggerti è:
Controllare se esistono aggiornamenti del firmware del tuo router che risolvono la vulnerabilità CSRF (non sembrano esserci ma puoi aggiornare alla versione 1.16)
Modificare nome utente e password di amministrazione del router con credenziali solide
Impedire a tutti i browser (tranne ad uno portatile specificamente predisposto) di contattare l'indirizzo del router o, più genericamente tutti, quelli della rete locale, attraverso specifiche regole del firewall di sistema
Se utilizzi Mozilla Firefox puoi installare il componente aggiuntivo NoScript che, fra le altre cose (anche disabilitando la protezione JavaScript), permette di filtrare le richieste malevole verso la rete locale (funzionalità ABE)
Domani, se posso, ti rispondo in maniera estesa per quanto il punto 3 della lista (indicando i passaggi per configurare correttamente il firewall di Windows).
Al3x ha scritto:Ottimo lavoro hash ma perché non farne un articolo?
Forse potrò occuparmene questo settimana. Secondo te l'articolo dovrebbe illustrare la configurazione del firewall o trattare l'argomento della discussione più in generale?
Inserendo un messaggio, dichiari di aver letto e accettato il regolamento di partecipazione.
Nello specifico, sei consapevole che ti stai assumendo personalmente la totale responsabilità delle tue affermazioni, anche in sede civile e/o penale,
manlevando i gestori di questo sito da ogni coinvolgimento e/o pretesa di rivalsa.
Dichiari inoltre di essere consapevole che il messaggio sarà visibile pubblicamente, accetti di diffonderlo con licenza
CC BY-NC-SA 3.0 (con attribuzione a "TurboLab.it") e rinunci ad ogni forma di compensazione (economica o altro).
Rinunci inoltre esplicitamente a qualsiasi pretesa di cancellazione del messaggio.