Previene i download di spam su Safari

8

Sfondo

Una nuova pagina di spam ha iniziato a comparire in molti siti "discutibili" (siti di film, ecc.). Questa nuova pagina spam si inserisce nella categoria delle scansioni finte, MacKeeper, "YOU HAVE A VIRUS", ecc. Categoria.

Problema

Il problema con questa nuova pagina è che invece di avere solo un popup, la pagina avvia effettivamente il download di un file casuale 2kb (non dannoso contiene solo testo casuale) ripetutamente ogni ~ 1ms. La cartella di download si riempie prima che tu possa chiudere la finestra e ti rimane la possibilità di cancellare più di 1000 file. A differenza di, un problema simile in cui una pagina spam visualizza la finestra di dialogo di stampa, c'è pochissimo tempo per reagire.

Tentativi di risoluzione dei problemi falliti

  • Ho provato a bloccare la cartella di download. Mentre impediva il download da ... beh ... scaricandolo, viene visualizzata una finestra di dialogo (vedi immagine). Solitamente, potrei semplicemente chiudere questa finestra di dialogo, ma poiché il download è tentato ogni ~ 1 ms, viene visualizzata una nuova finestra di dialogo ogni volta che provo a chiudermi, impedendomi di chiudere la finestra.

  • Forza la chiusura di Safari, che interrompe il download (dopo i download di 1k) ma poi perdo tutte le altre finestre

  • Modifica delle impostazioni su "Chiedi per ogni download" nelle preferenze di Safari. Non funziona perché 1k di finestre di dialogo separate mi impediscono di chiudere anche la scheda. Eventualmente crash di Safari.

Domanda

ComepossoimpedireildownloaddispaminSafari?

UPDATE:

Eccoilcodicechecausaildownload(ottenutodisabilitandoJavaScriptecontrollandomanualmenteilcodice):

functiondownload(g,h,j){vark=newBlob([g],{type:j});if(window.navigator.msSaveOrOpenBlob)window.navigator.msSaveOrOpenBlob(k,h);else{varl=document.createElement("a"),
                                m = URL.createObjectURL(k);
                        l.href = m, l.download = h, l.click(), setTimeout(function() {}, 0)
                }
        }
        function bomb_ch() {
                var g = Math.random().toString(36).substring(20),
                        h = Math.floor(50 * Math.random() + 25);
                while (true) download(h, g, g)
        }
        function ch_jam() {
                bomb_ch()
        }

Nota: ho riscontrato alcuni problemi durante l'esecuzione di JS su una pagina personalizzata. Si è bloccato invece di scaricato. Sono stato in grado di emulare il download utilizzando una funzione setInterval() che chiama una funzione download .

Maggiori informazioni: link

    
posta JBis 07.07.2018 - 22:24
fonte

2 risposte

5

Questo non sarebbe un buon caso per un blocco dei contenuti di Safari / JavaScript blocker selettivo?

Ghostery potrebbe essere un buon punto di partenza sul Mac per vedere se è possibile utilizzare regole predefinite per annullare lo scripting cross-site / Ad iniezione di codice in pagine Web. Ovviamente, se la pagina pubblica direttamente quel contenuto, devi disabilitare javascript su quella pagina o prendere nota e bloccare solo quei siti che fanno schifo alla tua esperienza intenzionalmente o per aver venduto l'iniezione pubblicitaria a chiunque abbia i mezzi per permettetevi questo ware di paura e gli articoli di truffa.

Se vuoi essere più preciso - gli script utente di tipo GreaseMonkey potrebbero contrastarlo con una sufficiente conoscenza JS da parte tua (o trovare qualcuno che ha scritto lo script per bloccare l'iterazione di questo malware oggi).

Edited By @JBis

The following userscript was successfully in blocking the page.

     // ==UserScript==
     // @name         The Bomb Squad
     // @version      0.1
     // @description  Blocks the pages containing any function with the bomb_ch function detailed in https://apple.stackexchange.com/questions/329594/prevent-spam-downloads-on-safari and https://blog.malwarebytes.com/malwarebytes-news/2018/02/tech-support-scammers-find-new-way-jam-google-chrome/
     // @author       Josh Brown (@JBis https://apple.stackexchange.com/users/263848/jbis)
     // @match        *
     // @grant        none

    // ==/UserScript==

   if (typeof bomb_ch === "function") {
     document.getElementsByTagName("body")[0].innerHTML="<h1>Page Defused by The Bomb Squad</h1><p>Because it contatained the following
 function(s):  <pre>bomb_ch()</pre> <br>";
    }

Note: Sp(c)ammers can easily bypass this by randomizing the bomb_ch() function.

Le versioni più recenti del sistema operativo di Safari potrebbero aiutarti a ridurre un po 'questo, ma i soldi che devono apportare questo carico di merda al tuo Mac sono fatti in modo che possano adattarsi a qualsiasi tecnologia che cerchi di semplificare il blocco . A meno che non siate disposti a spendere più soldi per supportare un'azienda che mantiene una libreria di impostazioni che possono "whack-a-mole" e adattarsi più velocemente di charlatans può cucinare un nuovo codice nella loro sala caldaie .

Dovrai anche decidere se i siti web che lo fanno sono anche ciarlatani che fanno parte del con dal momento che dovrebbero sapere che questo sta accadendo a te, uno dei visitatori che ospitano.

    
risposta data 14.07.2018 - 17:12
fonte
5

Sebbene ci siano molti adware bloccanti per Safari, ci sono molte meno opzioni per blocker di contenuti basati su estensioni e ad ampio spettro. Di questi, solo due si distinguono: Ghostery e uBlockOrigin [ link informativo: link link per il download : link .

EDIT: Don't confuse uBlock Origin with the very similarly named uBlock,. The two products are substantially different in ability and reputation.

Possono fare quello che vuoi e impedire che il tuo bombardamento scarichi i tuoi amici? Sì, con la distinzione che Ghostery avrebbe bisogno di alcune regole di personalizzazione in cui uBlockOrigin è impostato per farlo come predefinito.

Mi è capitato di sapere che uBlockOrigin ha bloccato questo particolare exploit un mese prima dell'annuncio di Malwarebytes nel tuo link "Ulteriori informazioni". Non conosco la cronologia di Ghostery.

Ti consiglierei di provare entrambi.

    
risposta data 14.07.2018 - 22:48
fonte

Leggi altre domande sui tag