По мотивам, с разрешения автора (не имеет акка в Хабре) и в тесном сотрудничестве с ним.
Около трех месяцев назад у пользователей одной сети обнаружилась проблема: в ходе работы веб-браузер подвисал, при этом загружалась JAVA на страницах, где собственно не было никаких апплетов.
После довольно долго общения с человеком, стало понятно что эта проблема возникает на некоторых публичных страницах ВКонтакте. Эти страницы были детально проанализированы на предмет фреймов, однако все оказалось кристально чисто. Сниффинг трафика тоже не показал ничего подозрительного.
После ряда экспериментов стало понятно, что на одной странице фрейм подгружается всего один раз и только для авторизованного пользователя, видимо, в результате ограниченного показа по ID ВКонтакте (пользователь не сохранял куки). Однако вопрос откуда же грузится фрейм, все еще не был решен.
В итого, с включенным сниффером было посещено порядка 30 публичных страниц. Отфильтровав весь трафик ВКонтакте, было найдено, что довольно много скриптов грузится с немецкого сервера (46.4.112.52), и именно один из этих скриптов грузил в себе фрейм на экслпоит (да, да кто еще не понял — окошко о подгрузке JAVA означало, что браузер пробит exploit-pack'ом, и, возможно, Вы уже часть чьего-то ботнета). Доказательство — подгрузка /games/worms.jar/, классифицирующегося как Exploit.Java.CVE-2010-0840.bd (возможно, часть Black Hole Exploit).
Администратора, выполнявшего исследования, в тот момент не интересовало, почему публичные страницы ВКонтакте что-то грузят из Германии, и исследование завершилось логичной блокировкой немецкого IP. Это решило проблему полностью, что косвенно доказывает, что мы не имели дело с локальным заражением системы с внедрением библиотек в область веб-браузера.
В итого, 20 июля 2011 года появляется интересная новость — тот IP, что был заблокирован пару месяцев назад, принадлежит приложению «Виджеты для официальных страниц», которое по каким-то причинам было заблокировано администрацией ВК.
Немного погуглив, находим в тему ещё интересную новость. И вот такую статистику.
Что же итого?
Ежедневно публичные страницы посещали миллионы человек, и около 80% из них так или иначе натыкались на Виджеты, которые в свою очередь сливали (не будем вдаваться в подробности, сами или не сами — но сливали) трафик на эксплоиты.
За эти три месяца, на публичных страницах с вирусом могло перебывать до 90% всей социальной сети.
Масштабы — солидны, странно, что об этом все молчат…
Открытыми остаются три вопроса:
1. Действительно ли на протяжении всех трех месяцев стоял фрейм на эксплоит, либо же его на время снимали?
2. За что заблокировано приложение Виджеты для официальных страниц? Взлом — это здорово, что сервера чистят и ссылки поправляют — волшебно, но если шла drive-by загрузка, то почему пострадавшим не предлагается в спешном порядке проверить компьютер антивирусом?
3. Почему, собственно, молчит администрация ВКонтакте?
Кстати, вот он — владелец виджетов (Совсем не фейк, это видно из уже приведённой выше ссылки)
P.S. Произошло небольшое недоразумение: Андрей Кедров является ответственным за другое приложение и не имеет отношения к «Виджетам для официальных страниц», просто взлом его приложения совпал с тематикой. Приносим извинения за это недоразумение. А вот интересная информация от Господина Кедрова:
Я Андрей Кедров. Удалите пожалуйста мое имя и фамилию из вашей записи на хабре, так как вы меня ассоциируете с чужим приложением. В первоисточнике, с которого писалась статья, на меня идет лишь ссылка, но к Виджеты для официальных страниц я не имею никакого отношения. У нас отдельное приложение, которое было взломано, в отличии от того, о котором идет речь. По официально версии автора «Ани» это тоже был взлом, но много моих знакомых утверждает иначе, тем более что мне прислали ссылку, на их сервере, с какой грузился трафф, а эта ссылка уже фигурировала в одной из жалоб на их приложение, за что они уже получали блокировку.
А вопрос с нашим приложением был решен с администрацией на протяжении нескольких часов, после моего возвращения домой, с отпуска. В то время как Аня получила блокировку без права на разбан. Хотя нет — поправочка — все же администрация и над Аней сжаловалась. Приложение буквально несколько минут назад было восстановлено, хотя сам «Аня» писал что ему отказали. В общем интересная ситуация на самом деле.
Тем не менее, подобная частота взломов приложений для ВКонтакте навевает на печальные мысли… Как и политика администрации «ВКонтакте» по отношению к виновникам. Много ли таких «Аней»?
