Фича, а не баг. Или как Rambler позволяют подменять отправителя письма
Добрый день. Меня зовут Алексей. Я занимаюсь написанием ботов и реверсом Android приложений с поиском в них уязвимостей.
Мне попало в руки приложение Рамблер/почта для Android. Цель была автоматизировать отправку почты средствами API мобильного приложения. Был запущен эмулятор MEmu и Charles, однако SSL отказывался показать свои запросы. В ход пошел реверс. В файле smali_classes2\okhttp3\OkHttpClient.smali были сделаны изменения, дабы убрать шифрование.
Далее начат был поиск запросов отвечающих за авторизацию и отправку сообщений. Меня удивило, что авторы приложения при их уровне никак не пытаются себя обезопасить хотя-бы простейшими сигнатурами. Запрос логина выглядит обычно. А вот запрос на отправку крайне любопытен.
Нам интересен параметр from. Вместо него можно подставить абсолютно любой адрес почты с Рамблера. Вот что приходит на Яндекс:
К счастью у Mail.ru и Yandex есть такая функция как «Служебные заголовки» и в них мы увидим:
Delivered-To: hrthrtjrt12@mail.ru
Return-path: <eherhregerg@rambler.ru>
Да. Технически мы видим реального отправителя, однако для рядового пользователя это скрыто и может стать средством фишинга.
Дальше больше. 1 аккаунт удалось загнать в бан с других аккаунтов просто добавив его адрес в поле from при отправке, письма от него не приходили. Однако если при отправке с этого «забаненного» аккаунта в поле From подставить любое другое мыло, то письма пойдут. Таким образом, мы понимаем, что Rambler считает отправителем юзера из поля from, а не реального.
В данный момент техническая поддержка Рамблера уже оповещена об уязвимости. Однако они ее таковой не считают. Цитирую:
Подобные попытки подмены и мобильных приложений Yandex и Mail.ru не сработали. К счастью, эти компании не такие «креативные». В их мобильных приложениях тоже есть уязвимости, но об этом в следующей статье. Надо же сперва оповестить разработчиков.
Данная статья — попытка исправить ситуацию и все таки признать это багом. Благодарю за внимание.
Kraken rambler ru что это
Уже не помню симптомов.
И лечения не помню тоже. Но примерно так. :
Из реестра поудалял все крэкены и рэмблеры, из броузера Хром все доп. сервисы, кроме самого броузера. Посмотрел логгинг портов и системы, и на винт — не обнаружил влияния без броузера. Запустил броузер — опа, опять крэкен. Понял, что это какая-то совместная атака ЖЖ, рэмблера и Хрома на целевого пользователя. ЖЖ инициирует кракена, кракен какую-то хрень в броузере Хром, а тот уже спамит иными владениями Гугла типа Ютуба, а может вообще снифит траффик всех окон броузера.
Ранее ЖЖ с Яндексом дружил. А тут такой хаос.
Прикинул, стоит ли копаться с логгированием по типу поиска троянов, и решил быть попроще.
Полазил через прокси Хромом — снова проблемы на ЖЖ и только на ЖЖ. Полазил другими броузерами — нет проблем. Другими через прокси — нет проблем.
Снёс нахрен Хром, включая реестр. И доволен. Все иные броузеры, кроме Хрома и продуктов на его движке — резво бегают по ЖЖ без проблем с тех пор.
What does this “kraken.ru” mean?
I recently started applying for jobs and one company reached out to me out of no where & made me an offer that’s almost too good to be true. I have an interview with them tomorrow.
I have been researching, they provided a valid website but don’t show up in many other searches. It’s super sus.
I am moving forward cautiously. My mom was interested and did some looking and this browser notification thing popped up that said “kraken.rambler.ru…”. She immediately thought this is a scam, something Russian. (We are in Canada).
I don’t want to give too much info about the company yet in case they are real, also privacy concerns for myself , but here is an image from the company’s website.
Rambler.ru is browser redirect malware that was probably bundled with other shady software that was downloaded onto the pc. Its probably not actually associated with the website your mom was looking at. I'd check to see if you get that redirect on any other websites and run some anti malware/antivirus scans.
My Finacée was just scammed over the weekend. Applied for a job online and they accepted her application instantly offering to pay her more than what she was asking. Everything looked pretty legit, even after I did some digging I couldn't tell they were a scam. Turns out they were faking a real business. What I wish I would've done that I didn't was call the real businesses number and ask if they did indeed perform those types of services. If you can I would recommend doing so just to double check.
I’ve seen a lot of that, people impersonating someone from a business. We’ve had people reach out to us and say they had an interview with someone over Skype claiming to be from the company, everything seemed legit, the offer was great, then they asked for their banking details and something seemed off. They gave us the dude’s phone number and he was routing things through a gmail address (which is a dead giveaway). Be careful out there!
What is the actual website of the company? It would help to check the domain registration to see how long they have been around. Another thing is to search some text on their website to see if they ripped it off from somewhere else.
You must do a follow up when you see how this plays out.
I definitely will
could be a foreign company that is legit but is being misunderstood, but if the offer is too good to be true i would be cautious
Thanks. I am torn because they sent me a long job description and application and it only asked for references and no private info. So if it is a scam, they have really really gone all out
Kraken rambler ru что это
народ а чо с дополнениями a фаерфоксе. их нет. страница их не работает. установить через лису мою есровскую тож нельзя о.О
Напишите в Роскондазор. 
Пускай амазоны разблокируют.
Или через антизапрет можно зайти. Или через тор. Ну в общем как-то так.
Если не получится — напишите что нужно, скачаю, да вышлю. Установите с файла.
да уже так и сделал, но при установке вкучную почему-то выдает мне что не поддерживается моей версией esrки самой последней.. трындец
№77 25-04-2018 17:09:50
Niko1977 Участник Группа: Members Зарегистрирован: 17-11-2016 Сообщений: 133 UA: 
60.0
Re: Вышел Firefox 59.0.2
Подскажите что с мозилой тупить начала часто.Лишнего ничего нет память не загружена.Ушел на бету 60 думал поможет но нет тоже самое.[img] 
[/img]
№78 25-04-2018 17:38:58
Stanislav1989 Забанен Группа: Members Зарегистрирован: 05-05-2014 Сообщений: 210 UA: 59.0
Re: Вышел Firefox 59.0.2
Niko1977, Роскомнадзор? В последние дни тоже начал подтупливать Firefox, но не везде. В моём случае по сетевой активности видно, что стопорится, когда пытается подгрузить скрипты с *google.com, который сейчас то работает, то нет.
№79 25-04-2018 19:33:29
Niko1977 Участник Группа: Members Зарегистрирован: 17-11-2016 Сообщений: 133 UA: 60.0
Re: Вышел Firefox 59.0.2
Niko1977, Роскомнадзор? В последние дни тоже начал подтупливать Firefox, но не везде. В моём случае по сетевой активности видно, что стопорится, когда пытается подгрузить скрипты с *google.com, который сейчас то работает, то нет.
Мне тоже так кажется, потому что они начали забугорные хостинги блокировать.Тот же ютуб загружаться стал хуже.
№80 26-04-2018 00:17:00
electric Участник Группа: Members Зарегистрирован: 04-09-2013 Сообщений: 54 UA: 56.0
Re: Вышел Firefox 59.0.2
Как сделать что бы расширения работали?
№81 26-04-2018 01:37:40
sandro79 Участник Группа: Members Зарегистрирован: 15-11-2017 Сообщений: 1737 UA: 58.0
Re: Вышел Firefox 59.0.2
electric, вы всё ещё с этой проблемой бьётесь? Возможно проблема в профиле. Создайте новый профиль, предварительно сделав бэкап старого. Профили — Где Firefox хранит ваши закладки, пароли и другие пользовательские данные
№82 26-04-2018 01:52:19
electric Участник Группа: Members Зарегистрирован: 04-09-2013 Сообщений: 54 UA: 56.0
Re: Вышел Firefox 59.0.2
Возможно проблема в профиле.
Спасибо за ответ, только что случайно понял, я всегда в dom.ipc.processCount.extension значение устанавливал больше 1. из-за этого пропадали все расширения.
№83 26-04-2018 23:55:40
Optimus Prime Участник Группа: Members Зарегистрирован: 04-11-2015 Сообщений: 206 UA: 59.0
Re: Вышел Firefox 59.0.2
подскажите как убрать вид для чтения из адресной строки?
№84 27-04-2018 00:07:09
sandro79 Участник Группа: Members Зарегистрирован: 15-11-2017 Сообщений: 1737 UA: 58.0
Re: Вышел Firefox 59.0.2
Optimus Prime reader.parse-on-load.enabled — false
№85 27-04-2018 02:33:07
Optimus Prime Участник Группа: Members Зарегистрирован: 04-11-2015 Сообщений: 206 UA: 59.0
Re: Вышел Firefox 59.0.2
Optimus Prime reader.parse-on-load.enabled — false
№86 27-04-2018 19:09:46
HW Участник Группа: Members Зарегистрирован: 19-12-2013 Сообщений: 181 UA: 59.0
Re: Вышел Firefox 59.0.2
Здравствуйте, Роскомнадзор продолжает блокировать Yandex?
У меня на многих страницах при загрузке в левом нижнем углу висит ожидание соединения mc.yandex.ru и бегает индикатор загрузки, хотя страница визуально загрузилась.
Я уже обновился до 59.0.2.думал может поможет.
Отредактировано HW (27-04-2018 19:10:17)
№87 27-04-2018 21:50:35
cat2626 Участник Группа: Members Зарегистрирован: 19-11-2013 Сообщений: 14 UA: 59.0
Re: Вышел Firefox 59.0.2
HW
Блок не причем это тормозная телеметрия просто, включите подписку MVPS HOSTS в uBO.
№88 27-04-2018 22:03:40
HW Участник Группа: Members Зарегистрирован: 19-12-2013 Сообщений: 181 UA: 59.0
Re: Вышел Firefox 59.0.2
Ubo это уставновить расширение Ublock? А средствами самого FF с этим справится нельзя?
Ведь раньше все ровно работало.
№89 27-04-2018 22:14:40
Niko1977 Участник Группа: Members Зарегистрирован: 17-11-2016 Сообщений: 133 UA: 60.0
Re: Вышел Firefox 59.0.2
Ubo это уставновить расширение Ublock? А средствами самого FF с этим справится нельзя?Ведь раньше все ровно работало.
А можно подробнее в каком месте ее там включать? простите не туда отправил.
Добавлено 27-04-2018 22:20:10
HWБлок не причем это тормозная телеметрия просто, включите подписку MVPS HOSTS в uBO.
А можно подробнее в каком месте ее там включать?
Отредактировано Niko1977 (27-04-2018 22:20:10)
№90 27-04-2018 22:25:36
cat2626 Участник Группа: Members Зарегистрирован: 19-11-2013 Сообщений: 14 UA: 59.0
Re: Вышел Firefox 59.0.2
HW
Ну можно вручную добавить адрес в любой блокировщик или в hosts файл
Но лучше включить подписку, конкретно она борется с бесконечной загрузкой.
Niko1977
Списки фильтров/Многоцелевые/MVPS HOSTS
№91 27-04-2018 22:34:13
HW Участник Группа: Members Зарегистрирован: 19-12-2013 Сообщений: 181 UA: 59.0
Re: Вышел Firefox 59.0.2
Видимо эта проблема не только у меня?
Может её как-то исправят в самой Mozilla?
У меня отключены Разрешить Firefox отправлять технические данные и данные взаимодействия в Mozilla и Разрешить Firefox отправлять сообщения о падениях в Mozilla, может ещё в about:config можно что то из этого отключить?
Или я не туда копаю?
№92 28-04-2018 08:06:46
Dzirt Участник Группа: Members Зарегистрирован: 26-02-2012 Сообщений: 1892 UA: 
66.0
Re: Вышел Firefox 59.0.2
ожет её как-то исправят в самой Mozilla?
Ну да, ну да. Проблема в Яндексе, а исправлять ее должны в Firefox'е почему-то. Самому не смешно?
№93 28-04-2018 17:12:01
HW Участник Группа: Members Зарегистрирован: 19-12-2013 Сообщений: 181 UA: 59.0
Re: Вышел Firefox 59.0.2
Я посчитал что проблема может быть в ff, так как мне ответили, что проблема в телеметрии а не в конкретном сайте, кроме того, у меня также выскакивало ожидание соединения с kraken.rambler.ru и google.ru, какой то widget.
А сначала я грешил на блокировки.
Отредактировано HW (28-04-2018 17:18:29)
№94 29-04-2018 01:39:05
12 Участник Группа: Members Зарегистрирован: 14-07-2009 Сообщений: 610 UA: 59.0
Re: Вышел Firefox 59.0.2
Может кто встречался с таким глюком?
Когда нажимаешь второй раз по синей звезде для уже заложенной закладки, расположение этой закладки автоматом меняется из места где она была, в общую папку "Другие закладки".
Отредактировано 12 (29-04-2018 01:40:44)
№95 29-04-2018 09:43:04
Dzirt Участник Группа: Members Зарегистрирован: 26-02-2012 Сообщений: 1892 UA: 66.0
Re: Вышел Firefox 59.0.2
Я посчитал что проблема может быть в ff, так как мне ответили, что проблема в телеметрии а не в конкретном сайте
Вы неправильно понимаете слово "телеметрия". В данном конкретном случае вам говорили о счетчиках Яндекса, о которых вы собственно и спрашивали. Это же ваши слова:
У меня на многих страницах при загрузке в левом нижнем углу висит ожидание соединения mc.yandex.ru и бегает индикатор загрузки, хотя страница визуально загрузилась.
? Но вы почему-то решили, что адрес mc.yandex.ru относится к Firefox'у. А почему вы так решили?
№96 29-04-2018 17:39:37
HW Участник Группа: Members Зарегистрирован: 19-12-2013 Сообщений: 181 UA: 59.0
Re: Вышел Firefox 59.0.2
Видимо неправильно, я считал что телеметрия- это показание о рабочих параметрах собираемых FF о отправляемых на сервер Mozilla, и сбой где то в передаче этих данных.
Я так не решил, я подумал что, раз проблема с разными адресами, в т.ч. kraken.rambler.ru google.ru, (а конкретно mc.yandex.ru привел как пример) то проблема не в конкретной службе и не в конкретном сайте.
№97 29-04-2018 18:21:14
okkamas_knife We are the Borg. Resistance is futile. Группа: Members Зарегистрирован: 21-10-2009 Сообщений: 9558 UA: 
2.14
Re: Вышел Firefox 59.0.2
HW пишет: Видимо неправильно, я считал что телеметрия- это показание о рабочих параметрах собираемых FF о отправляемых на сервер Mozilla, и сбой где то в передаче этих данных.
телеметрия это удалённый сбори передача различных параметров вообще, тоесть не только фф собирает но и сайты
я например вообще не понимаю почему у вас до сих пор не зарезаны все эти следилки от яндексов рамблеров гугла и прочего мылру..
я помню те времена когда обновления программ убирали проблемы и исправляли баги, а не добавляли их.
toxID:05AB9B827D896AACEE7FF4573A02FB8F025F46ADC856B98F65BC1BA9BD21A81DC98BA9C36CE3
№98 29-04-2018 20:31:51
x3100 Участник Группа: Members Зарегистрирован: 03-06-2015 Сообщений: 98 UA: 59.0
Re: Вышел Firefox 59.0.2
Некоторые сайты браузер не понимает,ошибка 500,а с например заходит.Никак до ума этот не доведут.Даже,когда на новом движке вышел,то всё летало,а после обновлений и последующих версий уже не та скорость.
Отредактировано x3100 (29-04-2018 20:32:35)
№99 29-04-2018 21:48:25
HW Участник Группа: Members Зарегистрирован: 19-12-2013 Сообщений: 181 UA: 59.0
Re: Вышел Firefox 59.0.2
телеметрия это удалённый сбори передача различных параметров вообще, тоесть не только фф собирает но и сайты
Примерно так и представлял себе телеметрию, но не думал что и сторонние сайты тоже могут этим заниматься
почему у вас до сих пор не зарезаны все эти следилки от яндексов рамблеров гугла и прочего мылру..
А чем вырезать Адблоком и Ублоком?
Отредактировано HW (29-04-2018 22:21:32)
№100 29-04-2018 22:25:30
ibb1386 Outpost'er Группа: Members Зарегистрирован: 30-10-2010 Сообщений: 1251 UA: 66.0
Re: Вышел Firefox 59.0.2
И правда такое впечатление, что сам блокирует допустим тот-же сайт с аддонами т.к с заходит куда угодно и без проблем даже без участия прокси, а выдаёт "ошибку соединения".
Наблюдая такую штуку уже неделю если честно.
Отредактировано ibb1386 (29-04-2018 22:25:46)
Страницы: « 1 2 3 4 5 6 »
Board footer
Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia 
Язык отображения форума: [Русский] [English]