extensiones
Páginas: 9 (2135 palabras)
Publicado: 26 de septiembre de 2014
Extensiones Malignas
Indice
Introducción
Alcance
Estructura General
Una Extension Troyano
Otras ideas interesantes
Introducción
Hace algunos meses, casi medio año, me encontré con un cliente particular, el mismo compraba aplicaciones en php y abusaba de la api de facebook, contrataba programadores para crear códigos que robaran el famoso token, que permite a aplicaciones externas,por medio de llamadas a la api, realizar ciertas tareas. Utilizando ingeniería social, mi cliente solía crear aplicaciones que parecieran hacer una cosa, los usuarios confiados aceptaban los permisos de la aplicación, pero ésta almacenaba el token y lo utilizaba para darle like a una pagina concreta que mi cliente ponía en un panel de administración, yo hice un pequeño script que pueden veractualmente en basecode.org socialfan, que gestionaba y vendía paquetes de likes haciendo uso de los tokens robados.
Llegó un momento que luego de hacer varias modificaciones por cambios en la api, la gente de facebook no parecía tener una idea de como solucionar el problema, y se les ocurrió limitar bastante la api de php y las acciones que se podían realizar con los tokens.
Entonces llegó la era delos virus en javascript que robaban el token o te forzaban a dar likes entre otras cosas.
Pero actualmente esto empeoró, entonces como mencionaba inicialmente, hace unos 6 meses se me ocurrió una genial idea, crear una extensión que al ser instalada en el navegador, ésta misma realizara las acciones que mi cliente quisiese cuando la víctima entrara a su facebook.
Desde un archivo externo laextensión cargaba las páginas a las que se enviarían los likes, luego realizaba las acciones correspondientes como si de la mismísima persona se tratara, para dar likes a esas paginas, publicaba un estado en el muro etiquetando a los amigos conectados con un link a la descarga de la extensión para poder propagarse (lo que en redes sociales se conoce como viralizar), luego se unía a grupos tambiénespecificados en el archivo de configuración y así mi cliente forzaba a las víctimas que tuviesen la extensión a hacer las tareas correspondientes.
Tiempo después Google se encargó de borrar su extensión de la tienda de extensiones de chrome, y bloqueó el code, esto sucedió porque mi cliente no me pagaba suficiente como para que yo desarrollara una coartada verdadera para la extensión, mi cliente lapublicaba como una extensión que cambiaba el color de fb pero ésta no hacía eso, si me hubiese pagado lo suficiente, yo hubiese implementado el code para cambiar el css y cambiar efectivamente el color.
Luego dejé de vender extensiones, por mera vagancia, hoy traigo en este documento una revelación que me ocurrió mientras yo hacía dicha extensión.
Alcance
Quizá esto sea uno de los temas quemas os interese, verán las extensiones son paquetes que se incluyen en el navegador, que ejecutan un código cualquiera javascript al entrar a cualquier página (también hay ciertos archivos para establecer menues y otras cosas) pero en términos básicos se puede ejecutar cualquier código javascript.
De modo que aquella persona que tenga la extensión instalada ejecutará en cada pagina que entre uncódigo en javascript que nosotros programemos, sin ningún tipo de limitaciones ni seguridad, como verán esto es una mina de oro, no hay mucho más que decir, prácticamente ese es el secreto, quien haya pensado en las extensiones no tenía ningún pensamiento maligno sino se hubiese dado cuenta que esto nos permite a nosotros ejecutar códigos que queramos en páginas que queramos.
Yo solo experimenté conextensiones para chrome ya que era lo que mi cliente quería pero intuyo que las extensiones en FF y otros navegadores han de ser iguales.
Aunque esto no es todo un paraíso, hay reglas del juego, para evitar abusos google como primer medida, implementa que las extensiones que no estén en su webstore no pueden ser instaladas sin una serie de pasos engorrosos que para el usuario común resultan...
Indice
Introducción
Alcance
Estructura General
Una Extension Troyano
Otras ideas interesantes
Introducción
Hace algunos meses, casi medio año, me encontré con un cliente particular, el mismo compraba aplicaciones en php y abusaba de la api de facebook, contrataba programadores para crear códigos que robaran el famoso token, que permite a aplicaciones externas,por medio de llamadas a la api, realizar ciertas tareas. Utilizando ingeniería social, mi cliente solía crear aplicaciones que parecieran hacer una cosa, los usuarios confiados aceptaban los permisos de la aplicación, pero ésta almacenaba el token y lo utilizaba para darle like a una pagina concreta que mi cliente ponía en un panel de administración, yo hice un pequeño script que pueden veractualmente en basecode.org socialfan, que gestionaba y vendía paquetes de likes haciendo uso de los tokens robados.
Llegó un momento que luego de hacer varias modificaciones por cambios en la api, la gente de facebook no parecía tener una idea de como solucionar el problema, y se les ocurrió limitar bastante la api de php y las acciones que se podían realizar con los tokens.
Entonces llegó la era delos virus en javascript que robaban el token o te forzaban a dar likes entre otras cosas.
Pero actualmente esto empeoró, entonces como mencionaba inicialmente, hace unos 6 meses se me ocurrió una genial idea, crear una extensión que al ser instalada en el navegador, ésta misma realizara las acciones que mi cliente quisiese cuando la víctima entrara a su facebook.
Desde un archivo externo laextensión cargaba las páginas a las que se enviarían los likes, luego realizaba las acciones correspondientes como si de la mismísima persona se tratara, para dar likes a esas paginas, publicaba un estado en el muro etiquetando a los amigos conectados con un link a la descarga de la extensión para poder propagarse (lo que en redes sociales se conoce como viralizar), luego se unía a grupos tambiénespecificados en el archivo de configuración y así mi cliente forzaba a las víctimas que tuviesen la extensión a hacer las tareas correspondientes.
Tiempo después Google se encargó de borrar su extensión de la tienda de extensiones de chrome, y bloqueó el code, esto sucedió porque mi cliente no me pagaba suficiente como para que yo desarrollara una coartada verdadera para la extensión, mi cliente lapublicaba como una extensión que cambiaba el color de fb pero ésta no hacía eso, si me hubiese pagado lo suficiente, yo hubiese implementado el code para cambiar el css y cambiar efectivamente el color.
Luego dejé de vender extensiones, por mera vagancia, hoy traigo en este documento una revelación que me ocurrió mientras yo hacía dicha extensión.
Alcance
Quizá esto sea uno de los temas quemas os interese, verán las extensiones son paquetes que se incluyen en el navegador, que ejecutan un código cualquiera javascript al entrar a cualquier página (también hay ciertos archivos para establecer menues y otras cosas) pero en términos básicos se puede ejecutar cualquier código javascript.
De modo que aquella persona que tenga la extensión instalada ejecutará en cada pagina que entre uncódigo en javascript que nosotros programemos, sin ningún tipo de limitaciones ni seguridad, como verán esto es una mina de oro, no hay mucho más que decir, prácticamente ese es el secreto, quien haya pensado en las extensiones no tenía ningún pensamiento maligno sino se hubiese dado cuenta que esto nos permite a nosotros ejecutar códigos que queramos en páginas que queramos.
Yo solo experimenté conextensiones para chrome ya que era lo que mi cliente quería pero intuyo que las extensiones en FF y otros navegadores han de ser iguales.
Aunque esto no es todo un paraíso, hay reglas del juego, para evitar abusos google como primer medida, implementa que las extensiones que no estén en su webstore no pueden ser instaladas sin una serie de pasos engorrosos que para el usuario común resultan...
Leer documento completo
Regístrate para leer el documento completo.