Розповсюдження шкідливого ПЗ через TinyURL
22:42 06.03.2010Про можливі атаки через редиректори, в тому числі сервіси редирекції, я писав в свої статтях Редиректори: прихована загроза та Атаки через закриті редиректори. Зокрема я наголошував на можливості розповсюдження шкідливого ПЗ через редиректори.
Також я писав про уразливості на багатьох сервісах редирекції, зокрема про уразливості на tinyurl.com. І я зокрема писав про можливість розповсюдження шкідливого коду саме через сервіс TinyURL. Атаки на користувачів можуть відбуватися як через редирекцію на зловмисні сайти, так і через поширення шкідливого коду безпосередньо через уразливості на сервісах редирекції. Але на всі мої попередження власники даних сервісів не звертали уваги.
І нещодавно, 03.03.2010, я виявив, що tinyurl.com почав активно використовуватися для поширення malware. Тому що Гугл виявив інфекцію на даному сайті, зокрема в його редиректорах (подібне використання tinyurl.com могло бути й раніше, але лише нещодавно я це виявив).
Це добре, що Google почав перевіряти на інфікованість і сервіси редирекції. Зокрема на tinyurl.com Гугл виявив 363 редиректори, з яких на 112 була виявлена підозріла активність за останні 90 днів. Частина сайта tinyurl.com була внесена до переліку сайтів із підозрілою активністю 7 разів протягом останніх 90 днів і за цей час tinyurl.com був посередником зараження 52 сайтів.
Що цікаво, TinyURL почали звертати увагу на використання їхнього сервісу для атаки на користувачів, і почали попереджати про можливість небезпеки при редирекції через них на деякі URL (потенційно вони можуть співробітничати з тим же Гуглом). Вони виводять сторінку “Warning - this URL may be harmful” з повідомленням про небезпеку даної адреси і пропонують користувачеві, якщо він бажає, самому перейти по лінці.
Зазначу, що TinyURL попереджає лише про деякі зі шкідливих URL (знайдених Гуглом), а ще багато інших їхніх редиректорів на шкідливі сайти працюють без жодних попереджень. Тому їм потрібно ще працювати над покращенням свого сервісу.