Redirect sospetto con Flipboard

Galaxy, Nexus, Xperia, Optimus o altri dispositivi "robotici"? Che si tratti di configurare il telefono o tablet, installare una ROM "cucinata" o scambiare quattro chiacchiere sui migliori dispositivi, la community Android si incontra qui.
Regole del forum
Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Redirect sospetto con Flipboard

Messaggio da Al3x »

Mentre leggevo un articolo di TechCrunch su Flipboard (sezione technology), tappando su un link interno ad un articolo, si è aperto chrome e sono stato reindirizzato verso un sito che mi avvisa che ho fatto un sacco di cose cattive :mrgreen:
Immagine
Una volta aperta la pagina che vedete qui sopra, nel tentare di chiuderla tornando indietro, Flipboard va in crash (compare popup di avviso) e l'area del display occupata dall'app diventa nera ma mantiene la barra bianca in alto.

Il link all'articolo è il seguente
http://techcrunch.com/2014/07/30/fling/ ... hCrunch%29

mentre il paragrafo della seconda pagina dell'articolo su Flipboard in cui è presente il link biricchino è questo:
TechCrunch reports that Fling, which was initially a small pet project of social startup Unii, is being broken off from the main company in order to allow for funding aimed exclusively at the photo app.
Questa è la pagina dell'articolo su Flipboard
Immagine
Ho salvato l'articolo su Pocket dall'interfaccia di Flipboard e visitando il link da PC con Ubuntu, non accade nulla. Il fenomeno si è verificato con un Note 2 no root, no app market alternativi, in poche parole tengo un comportamento da manuale del bravo utente.
I :amore Sasha

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Redirect sospetto con Flipboard

Messaggio da System » mer lug 30, 2014 8:28 pm


Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Redirect sospetto con Flipboard

Messaggio da Al3x »

ho riavviato il dispositivo e il fenomeno non si verifica più. Eppure prima del riavvio, per avere l'assoluta certezza che non fosse un episodio isolato, ho provato per ben 5 volte ho chiuso Flipboard dai task attivi e dopo averlo riavviato ho visitato la pagina incriminata: tutte le volte il redirect si è verificato!
boh :s
I :amore Sasha

Avatar utente
Ganondolf
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 678
Iscritto il: mar gen 28, 2014 10:51 am
Località: Mestre

Re: Redirect sospetto con Flipboard

Messaggio da Ganondolf »

Non credo sia colpa di Flipboard o del sito. In questi giorni ho notato più volte quell'avviso, sia sul portatile di mia sorella con windows, sia sul mio con ubuntu.
Dopo poche pagine di navigazione, ogni link riportava a quell'avviso, con un bel pop-up persistente che ti impediva di fare qualunque cosa, a parte terminare firefox o chrome da task manager. Dopo aver pulito il portatile windows col removal tool di kaspersky, la situazione è tornata normale, ma il giorno dopo era tornato. Sul portatile con ubuntu invece non è attecchito, mi è bastato chiudere la finestra di firefox (che tra l'altro era in navigazione anonima) per risolvere.

Altri miei amici mi hanno detto che è successo anche a loro, e un mio collega ha detto che navigando a casa (a Mestre) gli succede continuamente, mentre nella rete dell'università (a Padova) invece no. Sospettiamo siano stati infettati i server di rete di questa zona... Tu dove ti trovavi quando è successo?

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Redirect sospetto con Flipboard

Messaggio da Al3x »

Roma
I :amore Sasha

Avatar utente
Ganondolf
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 678
Iscritto il: mar gen 28, 2014 10:51 am
Località: Mestre

Re: R: Redirect sospetto con Flipboard

Messaggio da Ganondolf »

Sono appena arrivato a casa a Mestre e ho provato ad aprire l'articolo che hai segnalato. Dopo un paio di sfogliate, è comparso questo:
Immagine
Immagino sia intervento l'adblocker per impedire la connessione, ma sembra decisamente che volesse caricare la pagina di schifezze che dicevi.

Ho provato prima a Padova e funzionava bene.

Avatar utente
Ganondolf
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 678
Iscritto il: mar gen 28, 2014 10:51 am
Località: Mestre

Re: Redirect sospetto con Flipboard

Messaggio da Ganondolf »

Cercando l'indirizzo su google ho trovato questo (in polacco): http://translate.google.it/translate?hl ... t480106%2F

Seguendo un suggerimento su quel sito, ho controllato i DNS del mio router, e ho trovato un intruso: 5.175.225.136

Come ci è finito li?

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Redirect sospetto con Flipboard

Messaggio da Al3x »

Ganondolf ha scritto: Seguendo un suggerimento su quel sito, ho controllato i DNS del mio router, e ho trovato un intruso: 5.175.225.136
era quello che temevo/sospettavo, una manomissione del DNS nel router o addirittura sui root server. Ciò che mi oggi mi ha fatto pensare al router dopo aver letto che anche ad altri era accaduto, era che il problema si era verificato con il telefono connesso tramite wifi (no 3G). Ora controllo il mio router per capire se anche io ho avuto visite o se la modifica avviene dall'interno della propria rete attraverso i nostri browser.
I :amore Sasha

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Redirect sospetto con Flipboard

Messaggio da Al3x »

verifica effettuata, i DNS sono quelli di OpenDNS e sono al loro solito posto. Il fatto che nel tuo sia spuntato quell'indirizzo è un poco preoccupante, per caso hai la funzione uPnP attiva?
I :amore Sasha

Avatar utente
Ganondolf
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 678
Iscritto il: mar gen 28, 2014 10:51 am
Località: Mestre

Re: Redirect sospetto con Flipboard

Messaggio da Ganondolf »

Si

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Redirect sospetto con Flipboard

Messaggio da Al3x »

io l'ho disattivato da tempo visto che presenta dei problemi di sicurezza. Ci sono dei test in rete per verificare eventuali vulnerabilità, proverei quello del buon Steve Gibson:
https://www.grc.com/su/UPnP-Rejected.htm
I :amore Sasha

Avatar utente
Ganondolf
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 678
Iscritto il: mar gen 28, 2014 10:51 am
Località: Mestre

Re: Redirect sospetto con Flipboard

Messaggio da Ganondolf »

Il test non ha verificato vulnerabilità (i pacchetti non hanno risposto), ma almeno per il momento stacco l'uPnP finché ci sono sti problemi. Grazie per la segnalazione

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Redirect sospetto con Flipboard

Messaggio da Al3x »

faccio una specie di riassunto su cui riflettere

- questo fenomeno sembra coinvolgere sia PC che dispositivi mobili
- sembrerebbe (condizionale d'obbligo fino a prova contraria) che non si verifichi tramite connessione 3G
- colpisce la risoluzione DNS e in qualche modo il traffico viene rediretto su quel sito
- non lo imputerei ad un virus presente sui terminali/computer
- vengono misteriosamente modificate (nel caso di Ganondolf) le impostazioni del router

L'impressione che si ricava è della presenza di codice inserito nelle pagine che si visitano il quale sembra riesca in qualche modo ad agire dall'interno della rete da cui si naviga. Forse uno zero day che colpisce i sistemi operativi dei router il cui veicolo sono i browser a bordo dei dispositivi? E questo codice da dove viene, che siano infetti i siti che visitiamo?
I :amore Sasha

Avatar utente
Ganondolf
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 678
Iscritto il: mar gen 28, 2014 10:51 am
Località: Mestre

Re: Redirect sospetto con Flipboard

Messaggio da Ganondolf »

Che ISP hai? Io ho telecom. Dopo sento il mio collega per i suoi dettagli.

Non credo che il codice sia su un qualche sito specifico, dovrebbe essere fin troppo diffuso... La navigazione mia e di mia sorella hanno in comune solo la pagina principale di google. A meno che non sia infetta quella! Ma ne dubito.

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Redirect sospetto con Flipboard

Messaggio da hashcat »

Potreste fornirmi un link diretto (quello sul sito legittimo che effettua il redirect)?

:grazie

P.S.: Il caro vecchio urlquery, nella sezione HTTP Transactions (di una precedente analisi relativa all'IP malevolo inserito nel router), riporta un simile redirect:

Immagine
“The quieter you become, the more you can hear”

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Redirect sospetto con Flipboard

Messaggio da Al3x »

Ganondolf ha scritto:Che ISP hai? Io ho telecom.
anch'io, router Fritzbox 7390 con ultima release firmware
I :amore Sasha

Avatar utente
Ganondolf
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 678
Iscritto il: mar gen 28, 2014 10:51 am
Località: Mestre

Re: Redirect sospetto con Flipboard

Messaggio da Ganondolf »

Io ho un d-link, non ho modello sotto mano ma è simile al dkt-810. Firmware stock.

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Redirect sospetto con Flipboard

Messaggio da hashcat »

Una lista dei domini ransom utilizzati per le truffe associati all'ip relativo all'indirizzo malevolo riportato da Ganondolf:

VirusTotal

Analsi di qualche giorno fa trovata su di un blog: QUI.

Probabilmente i domini nocivi sono relativi a siti compromessi. L'attaccante ha modificato i server DNS dei servizi e creato, per ciascuno di essi, il sottodominio utilizzato per la truffa:

law-enforcement-var.nomedominio.tld^

I dati WHOIS relativi all'ip del server tedesco fanno riferimento ad un proprietario russo:
person: Dmitry Seleznev
address: Ivana Franko 38-364
address: 121351 Moscow
address: RUSSIAN FEDERATION
phone: +79270473970
^ Le porzioni colorate ed in grassetto sono variabili.

:fiu
“The quieter you become, the more you can hear”

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Redirect sospetto con Flipboard

Messaggio da hashcat »

Ganondolf ha scritto:Io ho un d-link, non ho modello sotto mano ma è simile al dkt-810. Firmware stock.
Al tuo posto, in caso non lo avessi già fatto, cambierei i dati d'accesso all'interfaccia di configurazione del router.
Al3x ha scritto:L'impressione che si ricava è della presenza di codice inserito nelle pagine che si visitano il quale sembra riesca in qualche modo ad agire dall'interno della rete da cui si naviga. Forse uno zero day che colpisce i sistemi operativi dei router il cui veicolo sono i browser a bordo dei dispositivi? E questo codice da dove viene, che siano infetti i siti che visitiamo?
E' possibile accedere all'interfaccia di configurazione di molti router sfruttando un iframe incoporato in una qualsiasi pagina caricata dal browser dell'utente. L'iframe può essere invisibile; questo contatta il router al suo indirizzo locale proprio della LAN ed impartisce, tramite i parametri nell'url, le credenziali d'accesso (di default o bruteforce tramite breve lista) e le impostazioni da alterare (in questo specifico caso i server dns utilizzati dal router):

Immagine

Questo genere d'attacco è tutt'altro che nuovo.

Maggiori informazioni: QUI.

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

@Ganondolf

Probabilmente il tuo router è stato compromesso in QUESTO modo (in sintesi quanto spiegato sopra).

;)
“The quieter you become, the more you can hear”

Avatar utente
Ganondolf
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 678
Iscritto il: mar gen 28, 2014 10:51 am
Località: Mestre

Re: R: Redirect sospetto con Flipboard

Messaggio da Ganondolf »

Allora, il router è un d-link 2740r con firmware eu_1.15 a1
hashcat ha scritto: Al tuo posto, in caso non lo avessi già fatto, cambierei i dati d'accesso all'interfaccia di configurazione del router.
Of course Immagine l'ho cambiata con una più robusta.

Grazie per il link, ora me lo leggo e lo passo al mio collega che ha avuto lo stesso problema...

C'è modo di impedire al router di ricevere/ascoltare questi iframe?

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: R: Redirect sospetto con Flipboard

Messaggio da hashcat »

Ganondolf ha scritto:C'è modo di impedire al router di ricevere/ascoltare questi iframe?
No, perché agli occhi del router le richieste provengono dal browser dell'utente e sono identiche a quelle che quest'ultimo potrebbe effettuare navigando attraverso l'interfaccia grafica.

Ciò che puoi fare per proteggerti è:
  • Controllare se esistono aggiornamenti del firmware del tuo router che risolvono la vulnerabilità CSRF (non sembrano esserci ma puoi aggiornare alla versione 1.16)
  • Modificare nome utente e password di amministrazione del router con credenziali solide
  • Impedire a tutti i browser (tranne ad uno portatile specificamente predisposto) di contattare l'indirizzo del router o, più genericamente tutti, quelli della rete locale, attraverso specifiche regole del firewall di sistema
  • Se utilizzi Mozilla Firefox puoi installare il componente aggiuntivo NoScript che, fra le altre cose (anche disabilitando la protezione JavaScript), permette di filtrare le richieste malevole verso la rete locale (funzionalità ABE)
Domani, se posso, ti rispondo in maniera estesa per quanto il punto 3 della lista (indicando i passaggi per configurare correttamente il firewall di Windows).

;)
“The quieter you become, the more you can hear”

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Redirect sospetto con Flipboard

Messaggio da hashcat »

Come promesso.

Configurazione del firewall di Windows (da Vista in poi):
  1. Aprire Windows Firewall (Esegui > wf.msc)
  2. Configurare come indicato nelle schermate che seguono (nell'esempio mi occupo di "proteggere" Internet Explorer)
Immagine

Immagine

Immagine

Immagine

Immagine

Immagine

Immagine

Immagine

Immagine

;)
“The quieter you become, the more you can hear”

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Redirect sospetto con Flipboard

Messaggio da Al3x »

Ottimo lavoro hash ma perché non farne un articolo? ;)
I :amore Sasha

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: Redirect sospetto con Flipboard

Messaggio da hashcat »

Al3x ha scritto:Ottimo lavoro hash ma perché non farne un articolo? ;)
Forse potrò occuparmene questo settimana. Secondo te l'articolo dovrebbe illustrare la configurazione del firewall o trattare l'argomento della discussione più in generale?
“The quieter you become, the more you can hear”

Avatar utente
Ganondolf
Livello: Disco fisso (9/15)
Livello: Disco fisso (9/15)
Messaggi: 678
Iscritto il: mar gen 28, 2014 10:51 am
Località: Mestre

Re: Redirect sospetto con Flipboard

Messaggio da Ganondolf »

Grazie, ma io uso Linux :D

Avatar utente
Al3x
Amministratore
Amministratore
Messaggi: 3987
Iscritto il: mer mag 01, 2013 12:59 pm
Località: http://127.0.0.1

Re: Redirect sospetto con Flipboard

Messaggio da Al3x »

hashcat ha scritto:
Al3x ha scritto:Secondo te l'articolo dovrebbe illustrare la configurazione del firewall o trattare l'argomento della discussione più in generale?
il sistema di content management blocca le immagini e non so darti una risposta :nono
I :amore Sasha

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: Redirect sospetto con Flipboard

Messaggio da System » lun ago 04, 2014 7:07 am


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio