Reindirizzamento di phishing / malware attraverso AdExchange su Android

4

Problema:

Ieri ho scoperto uno strano comportamento in App Chefkoch.de . Durante la ricerca della ricetta,

Firefoxsiapreconunaschermatadiavvisodiphishing(tedesco).

Questoèaccadutononsolosuquestaricettaspecifica,masuquasiognialtraricetta.Lamiaipotesiècheabbiaqualcosaachefarecongliannuncivisualizzati.L'annuncioAEGeraunodegliannuncivisualizzatiduranteilproblema.

Rispostaall'incidenza:

Subitodopol'attaccohoscrittoun'emailaglisviluppatori.Oggihoricevutolarisposta,chequestoproblemaènonnuovoperloro,epensanocheabbiaqualcosaachefareconilservizioGoogleAdExchange.

Oggihoprovatoadanalizzareilproblemaunpo'dipiù,manonsonostatoingradodiricrearenuovamenteilproblema.Aggiorneròlamiadomandaconulterioriinformazioniseriusciròaricreareilproblema.

Domanda:

  1. Qualcunohaconoscenzaditaliattacchi?(Googlenonmihaaiutato.)
  2. Comeèpossibilecreareunintentodelbrowser,senzainterazionedell'utente,tramiteannunci?

Dettaglitecnici

  • Versionedell'app2.2.8
  • VersioneAndroid:5.1.1
  • Dispositivo:OneOneOne
  • Agenteutente:Mozilla/5.0(Android;Mobile;rv:40,0)Gecko/40.0Firefox/40,0
  • Ora:01.09.201517:10:48

Modifica

Alcunerecentiricercheinquestocampohannomostratounproblemageneraledelleretipubblicitarie. link

    
posta tintin 02.09.2015 - 16:42
fonte

2 risposte

3

Il termine che stai cercando è "malvertising" o codice maligno inviato tramite reti pubblicitarie.

Se l'app mobile che hai usato aveva una vulnerabilità nota nel codice (librerie comuni) che il codice dannoso ha tentato di sfruttare, è del tutto possibile che possa avviare una sessione del browser.

    
risposta data 02.09.2015 - 17:03
fonte
0

Riguardo alla domanda 2 (Come è possibile creare un intento del browser, senza interazione dell'utente, tramite annunci?):

  • Se l'annuncio è server come intero HTML, potrebbe utilizzare un meta refresh ( <meta http-equiv="refresh" content="5; url=http://example.com/"> ).
  • Se JavaScript è consentito, potrebbe usarlo per reindirizzare la posizione corrente a un URI di scelta.

Ma non è tutto, potrebbe davvero fare di più che aprire semplicemente un URI HTTP. Potrebbe chiamare qualsiasi attività BROWSABLE con un link come intent://host1/#Intent;scheme=custom2;package=com.example.helloworld;end

References:

risposta data 17.09.2015 - 12:15
fonte

Leggi altre domande sui tag