Channel Mockingbird Shares - @mockingbird_shares - №2691
Пару днів назад клієнтів Robinhood масово хакнули, і зробили це настільки елегантно, шо я не можу не поділитись. Robinhood це американська апка для роздрібного інвестування, де можна з телефону купити акцій епла на десятку гривень. Колись вони засвітились в історії з GameStop, коли натовп з реддіту через Robinhood накачав акції GameStop і поклав кілька хедж-фондів, які їх шортили.Деталі атаки можуть бути неточними, я нічого не досліджував, але вектор звучить красиво. Припустимо, у хуліганів є імейл жертви, скажімо [email protected], і вони реєструють у Robinhood новий акаунт з адресою [email protected]. Крапки в gmail-адресах ігноруються, тому з точки зору гугла це одна і та сама скринька, а з точки зору будь-якого іншого сервісу це дві різні адреси (чудовий лайфхак для тестових акаунтів BTW).Далі атакуючий якимось чином змінює поле "назва пристрою": замість умовного iPhone 14 суне шматок HTML. Robinhood бачить новий вхід, тригерить security flow і шле повідомлення в стилі "помічений новий вхід, перевірте деталі". Шле на gmail-скриньку, ту саму, що у жертви. Усередині імейла рендериться інформація про "пристрій", і в тому місці, де мала би бути його назва, стирчить кнопка з посиланням на фішингову копію Robinhood.І от ви отримуєте тривожне повідомлення з адреси [email protected], з валідним DKIM, SPF і всіма свистоперділками, ну бо воно реально надіслане самим сервісом. Клацаєте кнопку, потрапляєте на копію логін-сторінки, вводите пароль, і далі ваш акаунт вже не зовсім ваш (тобто зовсім не ваш).Шо з цього винести? По-перше, треба санітайзити (як це взагалі буде українською?) все, що приходить в систему ззовні. Момент, коли ваш user-controlled ввід рендериться в HTML-імейлі, підписаному вашими ж DKIM-ключами, і летить юзеру з адреси вашого домену, є мабуть найгіршим у всесвіті місцем для XSS-подібного багу. По-друге, тепер ви знаєте трюк з крапками в gmail, можна використовувати у мирних цілях.А, ну і посилання на посилання на новину
80
26-04-28 13:26