Около 500 млн IoT-устройств подвержены атаке через подмену DNS

[sshikov]

Ага. Сначала речь про IoT, потом плавно перешли к «фишинг» и «пользовательский браузер». Где фишинг, против кого фишинг? Веб камере послали спам-письмо с левой ссылкой, и она его прочитала, и ссылку открыла? Очень убедительно…

[Aleksazhko]

The 'S' in IoT stands for Security

[frozen_coder]

На картинке очень эмоциональные розетки.

[Barnaby]

А с localhost такое сработает? Локальные сервисы очень часто висят без всякой защиты.

[Regis]

Вроде бы в браузере есть ограничения на доступ к локальным ресурсам.

[SergeyMax]

Кто-нибудь понял, в чём именно заключается атака?

[doom369]

Как я понял, работает так:

1. Делаем свой DNS server и делаем свой домен attack.cc/global_ip;
2. Разными уловками делаем так, чтобы пользователь (например в домашней сети за роутером и доступом к инету) открыл внешний сайт с вредоносным яваскриптом;
3. Файл скрипта похоже лежит на attack.cc/bad.js;
4. Браузер делает DNS реквест к attack.cc;
5. Так как DNS сервер наш, мы прописываем TTL 1 секунду (тут правда есть ньюансы — как будут реагировать на такой котороткий ТТЛ промежуточные ДНС сервера); Браузер ложит в кеш айпи (global_ip) для этого хоста.
6. (Тут не уверен или браузер автоматом это делает или выгруженный скрипт реквестит что-то с того же домена attack.cc что-то) браузер видит, что домен устарел (ТТЛ 1с) и шлет опять DNS реквест. Так как DNS сервер наш вместо global_ip возвращаем local_ip из сети юзера.
7. Скрипт уже может слать команды на local_ip, пока домен не устареет;
8. Повторяем пункт 6;

Если кто вникал — дайте подробностей.

[SergeyMax]

Почему бы просто не вписать локальные адреса во вредоносный яваскрипт? В чём новизна изобретения?

[doom369]

Современные браузеры не разрешают скрипту запрашивать данные из другого домена/айпи. Поэтому в ДНС записи подменяется айпи и браузер думает что запрос идет к правильному домену/айпи. Проверка пройдена и браузер дает доступ.

[SergeyMax]

Теперь стало гораздо понятнее, спасибо.