Tysiące blogów w serwisie Tumblr podmienione przez sprytnego robaka

dodał 3 grudnia 2012 o 19:40 w kategorii Błędy, Złośniki  z tagami:
Tysiące blogów w serwisie Tumblr podmienione przez sprytnego robaka

Możliwość umieszczenia kodu JavaScript we wpisie w serwisie blogowym musiała się źle skończyć. Kilka godzin temu popularny serwis Tumblr został zalany wpisami Amerykańskiego Stowarzyszenia Gejów Czarnuchów, znanego internetowego trolla.

 Użytkownicy Tumblra (który w USA jest dużo bardziej popularny niż poza jego granicami – serwis jest tam wśród 10 najczęściej odwiedzanych stron) zostali zaskoczeni identycznymi wpisami, które jeden po drugim zaczęły trafiać na kolejne strony. Każdy zalogowany użytkownik, który odwiedził zarażony blog, natychmiast sam stawał się ofiarą żartownisiów, a jego blog kolejnym punktem szerzenia infekcji. Jaki komunikat widzieli goście zarażonych serwisów?

Komunikat wirusa

Istniejąca od 2002 roku organizacja Amerykańskie Stowarzyszenie Gejów Czarnuchów (Gay Nigger Association of America), znana z trollowania internautów na tle rasistowskim, tym razem postanowiła stanąć do walki z blogerami z serwisu Tumblr, oskarżając ich żałosną dekadenckość i rekomendując im wypicie wybielacza i śmierć. Ciekawsza od samego komunikatu jest jednak automatyczna metoda jego umieszczania w kolejnych blogach.

W kodzie źródłowym każdej zainfekowanej strony można było znaleźć interesujący fragment:

Okazuje się, że autorom wirusa udało się umieścić w serwisie kod JavaScript, omijając mechanizmy to uniemożliwiające. Osiągnęli ten cel poprzez zamieszczenie kodu w tagu script src i zakodowanie w base64 jako Data URI. Skrypt po zdekodowaniu wyglądał tak:

Skrypt przekierowywał użytkownika na stronę http://i.hope.you.get.strangled.net (mam.nadzieje.ze.cie.udusza.net), która z kolei odpowiadała błędem 301 z przekierowaniem na adres

Jeśli strona została zatem otwarta przez użytkownika, który był zalogowany do serwisu, automatycznie umieszczał on ten sam wpis na swoim blogu, dodając jednocześnie swoją stronę do listy zarażających.

Komunikat umieszczony w kodzie JavaScript miał za zadanie zwieść użytkownika i przekonać go, że nie dzieje się nic złego i w praktyce wyglądał tak:


Komunikat wirusa (źródło: Sophos)

Wirus okazał się całkiem sprytnie skonstruowany i skuteczny. Twitter organizatorów akcji w pewnym momencie ogłaszał, że zainfekowali już prawie 9 tysięcy blogów.


Wpisy z Twittera autorów wirusa

Wśród zainfekowanych blogów znalazły się także należące do bardzo popularnych w USA The Verge, Reuters, USA Today, CNET oraz Daily Dot. W swoim oświadczeniu GNAA poinformowała, ze poinformowała Tumblra o błędzie dwa tygodnie wcześniej, jednak problem nie został usunięty. Po około godzinie od rozpoczęcia infekcji serwisu, Tumblr tymczasowo wyłączył możliwość dodawania nowych wpisów, powstrzymując rozpowszechnianie robaka.

Robak, który na krótko opanował Tumblra, nie był niczym nowym – podobne problemy spotkały już wcześniej Twittera czy MySpace (pierwszy w historii robak XSS). Sytuacja ta pokazuje jednak, że nawet w popularnych i dobrze zabezpieczonych serwisach ciągle można odnaleźć sposób przemycenia kodu JavaScript.