Reindirizzamento di phishing / malware attraverso AdExchange su Android

Naviga le tue risposte
4

Problema:

Ieri ho scoperto uno strano comportamento in App Chefkoch.de . Durante la ricerca della ricetta,

Firefoxsiapreconunaschermatadiavvisodiphishing(tedesco).

Questoèaccadutononsolosuquestaricettaspecifica,masuquasiognialtraricetta.Lamiaipotesiècheabbiaqualcosaachefarecongliannuncivisualizzati.L'annuncioAEGeraunodegliannuncivisualizzatiduranteilproblema.

Rispostaall'incidenza:

Subitodopol'attaccohoscrittoun'emailaglisviluppatori.Oggihoricevutolarisposta,chequestoproblemaènonnuovoperloro,epensanocheabbiaqualcosaachefareconilservizioGoogleAdExchange.

Oggihoprovatoadanalizzareilproblemaunpo'dipiù,manonsonostatoingradodiricrearenuovamenteilproblema.Aggiorneròlamiadomandaconulterioriinformazioniseriusciròaricreareilproblema.

Domanda:

  1. Qualcunohaconoscenzaditaliattacchi?(Googlenonmihaaiutato.)
  2. Comeèpossibilecreareunintentodelbrowser,senzainterazionedell'utente,tramiteannunci?

Dettaglitecnici

  • Versionedell'app2.2.8
  • VersioneAndroid:5.1.1
  • Dispositivo:OneOneOne
  • Agenteutente:Mozilla/5.0(Android;Mobile;rv:40,0)Gecko/40.0Firefox/40,0
  • Ora:01.09.201517:10:48

Modifica

Alcunerecentiricercheinquestocampohannomostratounproblemageneraledelleretipubblicitarie. link

    
posta tintin 02.09.2015 - 16:42
fonte

2 risposte

3

Il termine che stai cercando è "malvertising" o codice maligno inviato tramite reti pubblicitarie.

Se l'app mobile che hai usato aveva una vulnerabilità nota nel codice (librerie comuni) che il codice dannoso ha tentato di sfruttare, è del tutto possibile che possa avviare una sessione del browser.

    
risposta data 02.09.2015 - 17:03
fonte
0

Riguardo alla domanda 2 (Come è possibile creare un intento del browser, senza interazione dell'utente, tramite annunci?):

  • Se l'annuncio è server come intero HTML, potrebbe utilizzare un meta refresh ( <meta http-equiv="refresh" content="5; url=http://example.com/"> ).
  • Se JavaScript è consentito, potrebbe usarlo per reindirizzare la posizione corrente a un URI di scelta.

Ma non è tutto, potrebbe davvero fare di più che aprire semplicemente un URI HTTP. Potrebbe chiamare qualsiasi attività BROWSABLE con un link come intent://host1/#Intent;scheme=custom2;package=com.example.helloworld;end

References:

risposta data 17.09.2015 - 12:15
fonte

Leggi altre domande sui tag

XSS attraverso la modifica di un valore di elemento dell'interfaccia utente? In che modo la deprecazione di SHA1 influisce sulle radici di SHA1 negli archivi fiduciari di OS / Browser.