Tópico: Código Malicioso no Orkut

[Alenônimo]

Uma vulnerabilidade do Orkut, a mesma usada para exibir imagens, abre uma brecha de segurança onde é possível roubar perfis e comunidades de pessoas.

Enquanto o Google não consertar essa vulnerabilidade, recomendo que não acessem o Orkut.

[Buckaroo Banzai]

valeu. Bem, já não acessava de qualquer modo

...poderia postar mais informações? algum link?

[Alenônimo]

http://www.undergoogle.com/blog/2006/08/falha-de-segurana-grave-encontrada-no.html

[Oceanos]

E não é que funciona?

[Diegojaf]

E não é que funciona?

Hacker dos infernos...

[Oceanos]

Leia o link que o Ale postou..

[Diegojaf]

Leia o link que o Ale postou..

Ahh...

Hacker dos infernos...

[Oceanos]

"Ingênuo dos infernos". 


E por causa de caras como você que qualquer um tem fama de hacker...

[Floko]

E não é que funciona?

Qual parte funciona? Não ensina lá a roubar perfís.
Ou eu que sou lesado de mais pra entender a lógica usada pra roubar perfís apartir daquilo?

[Oceanos]

Eu testei só o de mandar imagens, não de roubar perfis..

Você pode colocar algum código malicioso dentro do scrap que explora alguma vunerabilidade de algum browser. No Secunia tem a grande maioria das vunerabilidades listadas e algumas tem até exemplos de exploits para explora-las. Ou pode usar a velha engenharia social: "Clique aqui e visite minha comunidade", mas o link redireciona para uma página falsa.

[Floko]

Eu testei só o de mandar imagens, não de roubar perfis..

Você pode colocar algum código malicioso dentro do scrap que explora alguma vunerabilidade de algum browser. No Secunia tem a grande maioria das vunerabilidades listadas e algumas tem até exemplos de exploits para explora-las. Ou pode usar a velha engenharia social: "Clique aqui e visite minha comunidade", mas o link redireciona para uma página falsa.

Alguém ainda cai nessa?

[Hold the Door]

Eu testei só o de mandar imagens, não de roubar perfis..

Você pode colocar algum código malicioso dentro do scrap que explora alguma vunerabilidade de algum browser. No Secunia tem a grande maioria das vunerabilidades listadas e algumas tem até exemplos de exploits para explora-las. Ou pode usar a velha engenharia social: "Clique aqui e visite minha comunidade", mas o link redireciona para uma página falsa.

Alguém ainda cai nessa?

Você duvida? Aquele virus das fotos da festa circula até hoje no orkut.

[Floko]

Eu testei só o de mandar imagens, não de roubar perfis..

Você pode colocar algum código malicioso dentro do scrap que explora alguma vunerabilidade de algum browser. No Secunia tem a grande maioria das vunerabilidades listadas e algumas tem até exemplos de exploits para explora-las. Ou pode usar a velha engenharia social: "Clique aqui e visite minha comunidade", mas o link redireciona para uma página falsa.

Alguém ainda cai nessa?

Você duvida? Aquele virus das fotos da festa circula até hoje no orkut.

Eu achei que eram todos fakes dos caras que querem espalhar os vírus. '

[Hold the Door]

Eu testei só o de mandar imagens, não de roubar perfis..

Você pode colocar algum código malicioso dentro do scrap que explora alguma vunerabilidade de algum browser. No Secunia tem a grande maioria das vunerabilidades listadas e algumas tem até exemplos de exploits para explora-las. Ou pode usar a velha engenharia social: "Clique aqui e visite minha comunidade", mas o link redireciona para uma página falsa.

Alguém ainda cai nessa?

Você duvida? Aquele virus das fotos da festa circula até hoje no orkut.

Eu achei que eram todos fakes dos caras que querem espalhar os vírus. '

Não. O sistema é semelhante aquele vírus de e-mail que se instala no seu sistema e manda mensagens para toda a sua lista de contatos. Assim que o desavisado clica no link do scrap ele se instala no micro e manda o link das fotos para todos os seus amigos como se fosse você.

[Floko]

Eu testei só o de mandar imagens, não de roubar perfis..

Você pode colocar algum código malicioso dentro do scrap que explora alguma vunerabilidade de algum browser. No Secunia tem a grande maioria das vunerabilidades listadas e algumas tem até exemplos de exploits para explora-las. Ou pode usar a velha engenharia social: "Clique aqui e visite minha comunidade", mas o link redireciona para uma página falsa.

Alguém ainda cai nessa?

Você duvida? Aquele virus das fotos da festa circula até hoje no orkut.

Eu achei que eram todos fakes dos caras que querem espalhar os vírus. '

Não. O sistema é semelhante aquele vírus de e-mail que se instala no seu sistema e manda mensagens para toda a sua lista de contatos. Assim que o desavisado clica no link do scrap ele se instala no micro e manda o link das fotos para todos os seus amigos como se fosse você.

Isso só funciona se baixar o arquivo smd(ou alguma coisa assim) né?

[Nightstalker]

Ainda bem que eu deletei meu profile no orkut.

[Alenônimo]

E não é que funciona?

Qual parte funciona? Não ensina lá a roubar perfís.
Ou eu que sou lesado de mais pra entender a lógica usada pra roubar perfís apartir daquilo?

Você acha que lá eles vão ensinar a roubar perfis? Lá não é um site hacker.

O roubo pode acontecer de maneira simples, incluíndo um iframe com um script que pega o seu cookie. Basta colocar esse cookie na máquina como se fosse o dele e o cara anda no Orkut como se fosse você.

Já falei demais.

[Floko]

E não é que funciona?

Qual parte funciona? Não ensina lá a roubar perfís.
Ou eu que sou lesado de mais pra entender a lógica usada pra roubar perfís apartir daquilo?

Você acha que lá eles vão ensinar a roubar perfis? Lá não é um site hacker.

O roubo pode acontecer de maneira simples, incluíndo um iframe com um script que pega o seu cookie. Basta colocar esse cookie na máquina como se fosse o dele e o cara anda no Orkut como se fosse você.

Já falei demais.

Desculpa ter sido chato perguntando, mas eu imaginei que poderia haver alguma forma mais "fácil" de se roubar o pefil e que só eu não tinha visto. Mas já entendi quando o Angelo me explicou. Obrigado mesmo assim.

[Alenônimo]

O código malicioso já foi corrigido:

http://www.undergoogle.com/blog/2006/08/falha-no-orkut-corrigida-pela-google.html

[Nina]

ufa... zé orelhas como eu estávamos com medo!  :geek-sad:

[Guinevere]

Se tens tanto medo, evitais usar orkut!