Un Weekend di Hacking a due delle maggiori piattaforme per Video e Musica.
Prima Repubblica da la notizia dell’hacking a Youtube (attraverso l’inserimento di un codice malevolo tra i commenti) e segnala decine di pagine modificate (un esempio in foto), poco dopo dal forum di iTunes Sotore si da l’annuncio del furto di alcune identità e del prosciugamento dei carte di credito ad essi associati.
Vediamo come hanno agito gli hacker per modificare la pagine su youtube (grazie alla spiegazione pubblicata da Strano su informaniaci):
L’HTML injection consiste nell’inserimento tramite bug di codice html, il linguaggio usato per costruire siti web, malevolo.
YouTube ha redatto una blacklist in cui sono filtrate parole che non possono essere usate a prescindere nei commenti, anche se questi sono lasciati liberi. In questa blacklist sono presenti quei codici html incriminati.
Il codice malevolo in questione, almeno per la maggior parte dei commenti, è
<script><script>IF_HTML_FUNCTION ?<h1><marquee>in questo caso sarebbe apparso un testo scorrevole<script>
Di base il tag <script> viene rifiutato così come tutti i codici html i quali fanno parte della blacklist. Ma la parte ai lati della parola script, <script>, altro non è che l’entità html della parentesi angolare: quindi la scritta viene interpretata come <script>. Dopo di essa IF_HTML_FUNCTION permette di inserire proprio codice html.
Il codice che viene inserito subito dopo può causare danni o solamente “spaventare” e trarre in inganno l’utente. Infatti se si inserisce un normalissimo testo lampeggiante, l’utente si preoccupa o pensa ad uno dei tanti pesci d’aprile di youtube (anche se fuori stagione), ma se si è in grado di usare del codice javascript si può armeggiare sui cookies dell’utente e scoprire così password o abitudini. Un’altra possibilità è il redirect su siti a pagamento, magari pornografici e a pagamento.
Twitter It!
GPG Key