Ένας ερευνητής ασφάλειας ανακάλυψε ένα web application framework που εκμεταλλεύτηκε ευπάθειες σε 58 δημοφιλείς ιστότοπους για τη συλλογή δεδομένων των επισκεπτών. Σύμφωνα με την ανάλυση ο στόχος ήταν ο εντοπισμός πιθανών Κινέζων αντιφρονούντων.
Πενήντα επτά ιστότοποι είναι δημοφιλείς κινεζικές σελίδες, ενώ ο τελευταίος είναι ο ιστότοπος των New York Times.
Το Tetris βρέθηκε κρυφά ανεβασμένο αρχικά, σε δύο ιστοσελίδες με κινέζικο αναγνωστικό κοινό. «Και οι δύο ιστότοποι φαίνονται να είναι ανεξάρτητα newsblogs», δήλωσε ένας ερευνητής ασφαλείας με το ψευδώνυμο Imp0rtp3, ο οποίος ανέλυσε το Tetris για πρώτη φορά σε μια ανάρτηση νωρίτερα αυτόν τον μήνα.
Και οι δύο ιστότοποι επικεντρώνονται στην Κίνα. Ο ένας επικεντρώνεται στις ενέργειες της Κίνας εναντίον της Ταϊβάν και του Χονγκ Κονγκ και εξακολουθεί να ενημερώνεται και ο άλλος έχει θεματολογία γενικά σχετικά με θηριωδίες που έγιναν από την κινεζική κυβέρνηση και δεν έχει ενημερωθεί από το 2016.
Στους browser των επισκεπτών των ιστοτόπων τρέχουν τα εργαλεία του tetris τα οποία με διάφορες τεχνικές υποκλέπτουν στοιχεία τους.
Συνολικά το framework είχε τις εξής λειτουργίες:
Ένα απόθεμα όλων των προσθηκών Tetris Swid είναι διαθέσιμο παρακάτω:
- Οκτώ πρόσθετα για τη συλλογή δεδομένων από απομακρυσμένους ιστότοπους μέσω JSONP. hijacking
- Ένα πρόσθετο για τη συλλογή δεδομένων γεωγραφικής τοποθεσίας μέσω του προγράμματος περιήγησης του χρήστη. Σε αυτήν την περίπτωση θα εμφανιστεί ένα αίτημα άδειας στον χρήστη, καθιστώντας την επίθεση εύκολο να εντοπιστεί.
- Ένα plugin για τη συλλογή της διεύθυνσης IP εσωτερικού δικτύου του χρήστη μέσω του WebRTC API.
- Ένα πρόσθετο για να τραβήξει μια φωτογραφία του χρήστη μέσω της τοπικής κάμερας. Αυτό το πρόσθετο θα ενεργοποιήσει επίσης ένα αίτημα άδειας προγράμματος περιήγησης.
- Ένα πρόσθετο για την καταγραφή των πληκτρολογήσεων του χρήστη.
- Ένα πρόσθετο για να προσδιοριστεί εάν ο χρήστης χρησιμοποιεί Tor.
- Ένα plugin για σύνδεση στο σύστημα του χρήστη μέσω websocket
- Ένα plugin για τη συλλογή εκτεταμένων τεχνικών δεδομένων σχετικά με το σύστημα του χρήστη.
Ανάλογα την ιστοσελίδα, τα στοιχεία τα οποία το framework είχε τη δυνατότητα να υποκλέψει ήταν διαφορετικά.
| Domain | Attributes | Global Alexa Rank | Chinese Rank |
|---|---|---|---|
| tmall.com | isLogin | 3 | 1 |
| qq.com | userId,nickName,headURL,userHome | 4 | 2 |
| baidu.com | userId,userName | 5 | 3 |
| sohu.com | nickName,headURL,userHome,profile,userName | 6 | 4 |
| taobao.com | isLogin | 8 | 5 |
| jd.com | userName,headURL | 10 | 7 |
| weibo.com | userId | 14 | 8 |
| tianya.cn | userName | 42 | 17 |
| aliexpress.com | isLogin | 44 | – |
| gome.com.cn | userId,nickName,headURL | 89 | 26 |
| 163.com | nickName,headURL | 97 | 27 |
| nytimes.com | uid,subscriptions | 113 | – |
| zol.com.cn | userId | 310 | 50 |
| iqiyi.com | userinfo,qiyi_vip_info | 390 | 53 |
| outbrain.com | userName | 419 | – |
| 58.com | userName,userId,phone | 468 | 58 |
| zhibo8.cc | userId,nickName,background,headURL | 482 | 69 |
| dianping.com | userId,nickName | 619 | 93 |
| renren.com | userId,nickName,userName,headURL,birth | 696 | 94 |
| youku.com | userId,userName,sex,headURL | 710 | 104 |
| dangdang.com | ddoy,loginTime | 799 | 109 |
| anjuke.com | userId,userName,lastUser,profileURL | 844 | 119 |
| smzdm.com | userId,nickName,headURL | 1489 | 207 |
| ifeng.com | isLogin,isLogin | 1607 | 218 |
| 7k7k.com | userId,userName,nickName,headURL,level | 1902 | 216 |
| zhaopin.com | userName | 2587 | 289 |
| 4399.com | isLogin,gameInfos | 2764 | 254 |
| ctrip.com | userName,level | 3185 | 346 |
| 10086.cn | userName | 4047 | 383 |
| hupu.com | userId,userName | 4440 | 543 |
| vip.com | level,lastLogin | 6074 | 1519 |
| pconline.com.cn | userId,nickName | 7303 | 773 |
| xunlei.com | nickName,payName,userName | 8680 | 2126 |
| xcar.com.cn | headURL,userName,userName | 10868 | 1157 |
| qunar.com | isLogin | 11185 | 1708 |
| pcauto.com.cn | userId | 11410 | 2117 |
| jumei.com | nickName,userId | 14264 | 1726 |
| 37.com | userName,lastLoginIP,lastLoginTime | 14905 | 1548 |
| hexun.com | userId,userName,headURL,sex | 20653 | 2480 |
| suning.com | phone,headURL,level | 28883 | 2845 |
| lu.com | userId,sex,realName,userName,mobile | 29184 | 2985 |
| tiexue.net | userId,userName | 31430 | 3235 |
| baihe.com | userId,nickName,gender,age,headURL,cityID | 36791 | – |
| bbs.360safe.com | userName,userId,email,adminId,lastVisit,group | 39660 | – |
| qyer.com | username,userid | 43347 | – |
| 56.com | userHome | 48982 | – |
| zongheng.com | level,headURL | 59346 | – |
| ziroom.com | userName | 74364 | 3702 |
| bitauto.com | userId,userName | 84849 | – |
| chinaiiss.com | userName | 119808 | – |
| 2144.cn | userId,userName,nickName | 199953 | – |
| yhd.com | userName,headURL | 343737 | – |
| letv.com | userId | 671069 | – |
| readnovel.com | userName,headURL | 1167917 | – |
| duoshuo.com | userId,userName,userHome,headURL,social_uid,email | – | – |
| aliyun.com | userId | – | – |
| huihui.com | uid,userName | – | – |
| daijun.com | userName | – | – |
Με πληροφoρίες από therecord.media
