tl;dr: OLX przekierowuje swoich użytkowników automatycznie na scamerskie strony i na tym zarabia.
OLX przekierowuje automatycznie na scamerskie strony
Jest sobotni poranek, człowiek w rozjazdach itp, znajduje chwilę by poszukać sobie dysków NVME na olxie, bo ceny są jakie są, a potrzebuje czegoś na już do homelabu.
I przegląda sobie OLXa, polując na okazje... gdzie trakcie szukania zostaje prawie cały czas przekierowany na scamerską stronę.
Tutaj filmik co się dzieje, co za rzeczy niestworzone mi się wyprawiają:
https://www.youtube.com/shorts/sP5_BjstDV8
Może coś ze mną jest nie tak?
Po takiej sytuacji są opcje dwie:
1. Mam wirusa na iPhonie/Brave
2. OLX zostało złamane.
Jako to, że mój system musi być przeźroczysty i czysty, nie ma miejsca na wirusy, od razu zacząłem sprawdzać czy wina nie jest po mojej stronie.
1. Wtyczki do Brave: Hola, niestety Brave nie ma wtyczek na przeglądarki mobilne.... to jak to mogli zrobić?
2. VPN i jakieś proxy - odpada. Jedyne co mam to NordVPN/zerotier/tailscale, ale wyłączone.
3. DNS? - Korzystam od orange na iphonie.
4. Wirus jakiś na iPhone? Jeśli tak, to bym musiał być super ważny dla świata, bo takie rzeczy kosztują miliardy, a nikt nie będzie tyle wydawał na wykopka w Polsce.
Więc doszedłem do wniosku że to nie może być moja wina. Nie widzę wektora ataku, jedyny wektor to by mógł być Brave, ale ufam przeglądarce. I w szczególności że to dzieje się tylko na OLX, nigdzie indziej.
Czas na debugowanie
Dobra, jako to, że mój komputer i telefon musi być czysty i nie mogę pozwolić by ot tak nie wiedział co się dzieje.
Co wiem:
1. Dzieje to mi się na iOS
2. Tylko na internecie od Orange - LTE/5g
3. Gdy mam przeglądarkę BRAVE.
Idealnie by było, gdyby mieć możliwość otworzyć debuggera/inspektora strony w iOS, ale takie możliwości nie mam, albo nie jest łatwa. Utrudnia to życie.
Ale próbuję... Odpalam Brave na desktopie, łącze się przez hostspota z komórką, by mieć IP od orange, odapalam inspektora, symuluje Iphone 14.
Pierwsza jaskółka
Setup zrobiony, wchodzę na OLX, klikam i klikam... i po minucie przeglądarka zatrzymuje się na break poincie:
Tutaj kopia kodu: https://gist.github.com/bordeux/15a672176ea3dd54d91155310b4b49c8
Ale co to oznacza dla śmiertelnika? W programowaniu możesz dać breakpointy, gdzie komputer zatrzyma się w danym miejscu wykonywania logiki. Bardzo przydatna rzecz, bo możesz sprawdzać czy twój kod działa poprawnie.
Ale takie rzeczy na produkcji? NIe zdarzają się. Przeważnie kod produkcyjny jest wolny od takich breakpointów.
Pierwsza myśl: Jeśli to nie zdarza się cały czas, lecz dopiero po minucie, i to losowo, to nie może być przypadek.
Analiza breakpointa!
Kto normalny daje breakpointa na produkcji. Pierwsza moja myśl: aaa tu cie mam hackerze! Myślisz że jesteś cwany, ale nie ze mną takie numery Bruner!
W takich sytuacjach już wiedziałem o co chodzi. To tania metoda by sprawdzić, czy ktoś nie debuguje aplikacji!
Hackerzy po prostu chcą ukryć wywoływanie przekierowania, gdy wiedzą że ktoś ich obserwuje.
Jak to działa? Jak wcześniej mówiłem. W danym miejscu kod się zatrzymuje. I kontynuje dalej kod, jak w debugerze klikniesz dalej.
Więc jak sprawdzić czy nie debuggujesz? Zapisujesz czas przed wykonaniem breakpointa, a później sprawdzasz czas po wykonaniu niego.
[zapisz czas] → [debugger] → [sprawdź czas]
↓
DevTools zamknięte: ~0ms → różnica < 100ms → false (nie wykryto debuggera)
DevTools otwarte: >100ms → różnica > 100ms → true (wykryto debugger!)
==================
function br() {
var es = new (dq())(); // dq() = Date → zapamiętuje czas START
dQ(); // ← wywołuje debugger
if (dL(bq)) { ... }
else {
return cL(new (dq())() - es, 100) // sprawdza czy różnica < 100ms
}
}Jak czas jest mniejszy niż 100ms , to oznacza że debugger nie zatrzymał kodu. Jak jest większy - to oznacza że zatrzymał kod, a użytkownik fizycznie nie ma możliwości tak szybko kliknąć 'dalej" w wykonywaniu kodu.
Debugger ale bez debuggowania
Deweloperzy przeglądarek nie są głupi, i dali możliwość, by mieć nadal inspektor elementów, ale wyłączyć możliwość "zatrzymywania" kodu. Więc wyłączam to, i zaczynam klikać i...
BINGO!!! Zostałem przekierowany!
Mam was nicponie przebrzydłe! Teraz mi nie uciekniecie! Wszystko mam już zarejestrowane w przeglądarce, więc szybka kawka i jedziemy z tematem, skąd wy jesteście.
Analiza wsteczna, zawsze skuteczna
Mam już w przeglądarce historię, co się zadziało. Teraz tylko po nitce to głębka.
Powróćmy to tego kodu, zobaczmy skąd się pojawił.
Widzę skrypt https://brv-d7afggd5ahdsa7fy.z01.azurefd.net/brvs.js . Więc szukam go skąd się on pojawił:
(kopia skryptu https://gist.github.com/bordeux/67b357259338c5e3b7149b54e2570160 )
Ogólnie domena jest jakaś dziwna, losowe znaczki itp. Już mi to śmierdzi.
Sam kod bardzo nieczytelny, że nie po prostu optymalizacja rozmiaru kodu, lecz po prostu klasyczna Obfuskacja kodu.
Ale skąd ten skrypt się znalazł?!
No też łatwo sprawdzić, idę w tab network i sprawdzam inicjatory tego skryptu
1. Ten główny to kod
https://cdn.slots.baxter.olx.org/_assets/prebid/8.52.0-501acd36e3c201457cc2746fed75519e319a1df9.js
(tutaj kopia https://gist.github.com/bordeux/45c5fb6a0994126ee73efba62d71d4ff)
2. A drugi to pubads: link https://securepubads.g.doubleclick.net/pagead/managed/js/gpt/m202604080101/pubads_impl.js?cb=31097777
Teraz już wiem wszystko!
1. OLX ma reklamy
2. Sprzedaje swoje miejsca reklamowe
3. Korzystają z platformy googleads/doubleclick
4. Oni znów korzystają z jakieś wewnętrznej platformy baxter? (baxter.olx.org)
5. Hackerzy wykupili sobie miejsce na stronie na OLXie, przez co potrafią przekierować użytkowników na spreparowaną stronę
6. Targetem hackerów przy reklamowaniu są na pewno użytkownicy Orange, i prawdopodobnie ci co mają przeglądarkę Brave. I do tego iPhone jest targetem.
Czas zgłosić problem do OLX'a
No dobra, to poinformujmy ich. Niech działają.
Pierwsze to trzeba się skontaktować jakoś z działem bezpieczeństwa. Sprawdza STANDARDOWY plik, gdzie każda poważna platforma powinna go mieć
https://www.olx.pl/.well-known/security.txt
I co? No i nici. Nie MA TAKIEGO pliku
Więc olałem temat, bo przez OFICJALNY FORMULARZ kontaktowy nie chce przechodzić, bo jest koszmarnie skomplikowany, byle by ludzie im nie wysyłali nic. Ot taka protekcja by nie zatrudniać więcej ludzi do supportu.
OLX, czy ty mnie widzisz?
A jak mnie chociaż trochę widzisz, to napraw to proszę, bo inaczej będę bardzo zły, a ja tego nie chce #pdk
Teraz dla was cenne informację, byście się ogarnęli:
Tutaj URL przed przekierowaniem do strony scamerów
https://rdxgo.click/visit.php?k=e4d1e373a121b988d474296cac6149b2&mod=h&c=143&bid_id=2e194991-dab0-abef-4d55-4ea010ad6b67&pub=olx.pl&exchange=eu-vaaya-pll-cpm-rtb-bn&ip=46.134.59.0&browser=safari&os=ios&subage=&cc=PL&time=1o7b7k5p9j4v5f6r0g3j0w3s9&publisher_id=1100058682VM1122&site_id=olx.pl_4061719&sec_id=d61f2f5185302405497e08d4a77bd825&xrtb_id=K_0ia2EBslR_jLADhLdNarArl8RjpaikHZ9T7njRJe4DEyEjHHrO7frq2ufoM1xCzF8i_eY&et1=displaymanager:Smaato&et4=07bcf65f187117b4:1100058682&bm_camp_id=4768&et2=300x250&ifm_ori=2||m.olx.pl||m.olx.pl&bidderdomain=go-eu.redirpath.info&scidbak=1c41d66b534abcb1ae4074295f71c147&scipbak=92073416caf822e22bcc0639945a7b93&tmidflg=MKTack3aNxTik000N7TYwNQO0O0OO0O0O&clicktype=pop
Tutaj URL do strony scamerów:
https://safebytetech.live/bonus/com-pl-7778/lp1.php?c=43z1mcw8bz42z0&k=c8f7c5e37979edeaea16be2ff7352f33&country_code=PL&carrier=Orange&country_name=Polandion=Malopolskie&city=Andrychow&isp=Orange%20Polska%20Spolka%20Akcyjna&lang=en&os=iOS&osv=18&browser=Safari&browserv=&brand=Apple&model=iPhone&marketing_name=iPhone&tablet=2&rheight=0&rwidth=0&e=5
Jak widzicie, macie w URL bid_id, więc teoretycznie możecie się dowiedzieć kto takie reklamy zrobił dla was, poprzez sprawdzenie logów.
Tutaj macie skrypt, który przekierowuje na złą stronę:
https://bkf-hfcsfteabmeafvgz.z01.azurefd.net/bkf.js
Czy to wina OLX?
TAK! OLX bierze za to odpowiedzialność. TO ONI decydują z kim współpracują, to ich platforma, to ONI decydują w pełni jakich dostawców korzystają reklam, to oni decydują jaki kod JavaScript znajdzie się na ich stronie.
A to że są nieświadomi tego - to ich problem. Powinni być. Jako korporacja, co zarabia miliony jak nie miliardy, jesteście w pełni odpowiedzialni za zaistniałą sytuację.
Jesteście dużą platformą i na was spoczywa duża odpowiedzialność. Nie jesteście blogiem na wordpresie, mało znanym. Przez wasz portal przewija się miliony osób
Komentarze (79)
najlepsze
Korporacje robią takie wałki, a później się dziwią że ludzie blokują reklamy. I starają się utrudniać życie, tym co je blokują.
źródło: comment_5n5dwLXTNLrPfRFBmilz9RBZfcYqAoWi
PobierzPrzecież na komórce nie da się obserwować cały czas adresu URL.
A później już z górki - na fałszywej stronie dodać ogłoszenia, i kup teraz opcje, a później formularz o uzupełnienie karty kredytowej. I to dopiero będzie jazda....
J--a** reklamy scam są od zawsze, sam nie wiem czy od google to leci czy coś. Masz (5) wirusów ściągnij poprawkę, update czy coś TERAZ.
źródło: obraz
Pobierz