8 votes

Empêcher les téléchargements de spam sur Safari

Contexte

Une nouvelle page de spam a commencé à apparaître sur de nombreux sites "douteux" (sites de films, etc.). Cette nouvelle page de spam entre dans la catégorie des faux scans, MacKeeper, "VOUS AVEZ UN VIRUS", etc.

Problème

Le problème avec cette nouvelle page est qu'au lieu d'avoir un simple popup, la page initie en fait un téléchargement d'un fichier aléatoire de 2kb (non nuisible, contenant juste du texte aléatoire) de manière répétée toutes les ~1ms. Le dossier de téléchargement se remplit avant que vous ne puissiez fermer la fenêtre et vous vous retrouvez à supprimer plus de 1000 fichiers. Contrairement à un problème similaire dans lequel un spam de page fait apparaître la boîte de dialogue d'impression, il y a très peu de temps pour réagir.

Échec des tentatives de dépannage

  • J'ai essayé de verrouiller le dossier de téléchargement. Bien que cela ait empêché les téléchargements de... eh bien... les télécharger, une boîte de dialogue (voir l'image) s'est affichée. Normalement, je pourrais simplement rejeter cette boîte de dialogue, mais comme le téléchargement est tenté toutes les ~1ms, une nouvelle boîte de dialogue apparaît chaque fois que j'essaie de la rejeter, ce qui m'empêche de fermer la fenêtre.

  • Quitter Safari de force, ce qui arrête le téléchargement (après 1k's de téléchargements) mais ensuite je perds tous mes autres Windows.

  • Modification des paramètres pour "Demander chaque téléchargement" dans les préférences de Safari. Cela ne fonctionne pas car des milliers de boîtes de dialogue distinctes s'ouvrent, m'empêchant même de fermer l'onglet. Cela finit par faire planter Safari.

enter image description here

enter image description here

Question

Comment empêcher les téléchargements de spam dans Safari ?

UPDATE :

Voici le code qui provoque le téléchargement (je l'ai obtenu en désactivant JavaScript et en parcourant le code manuellement) :

 function download(g, h, j) {
                var k = new Blob([g], {
                        type: j
                });
                if (window.navigator.msSaveOrOpenBlob) window.navigator.msSaveOrOpenBlob(k, h);
                else {
                        var l = document.createElement("a"),
                                m = URL.createObjectURL(k);
                        l.href = m, l.download = h, l.click(), setTimeout(function() {}, 0)
                }
        }
        function bomb_ch() {
                var g = Math.random().toString(36).substring(20),
                        h = Math.floor(50 * Math.random() + 25);
                while (true) download(h, g, g)
        }
        function ch_jam() {
                bomb_ch()
        }

Remarque : J'ai eu quelques problèmes pour faire fonctionner le JS sur une page personnalisée. Il s'est figé au lieu d'être téléchargé. J'ai pu émuler le téléchargement en utilisant un fichier setInterval() appelant une fonction download función.

Plus d'informations : https://blog.malwarebytes.com/malwarebytes-news/2018/02/tech-support-scammers-find-new-way-jam-google-chrome/

5voto

Oskar Points 1242

Ne serait-ce pas un bon cas pour un bloqueur de contenu Safari / bloqueur de javascript sélectif ?

Ghostery pourrait être un bon point de départ sur le Mac pour voir si vous pouvez utiliser des règles prédéfinies pour lutter contre le cross-site scripting / l'injection de code dans les pages web. Bien entendu, si la page fournit directement ce contenu, vous devrez désactiver entièrement le javascript sur cette page ou prendre note et simplement bloquer les sites qui gâchent votre expérience intentionnellement ou en raison de la vente d'injection de publicité à quiconque a les moyens de s'offrir ce scare ware et ce scam ware.

Si vous voulez être plus précis, des scripts utilisateur de type GreaseMonkey pourraient combattre ce problème avec suffisamment de connaissances JS de votre part (ou en trouvant quelqu'un qui a écrit le script pour bloquer l'itération actuelle de ce logiciel malveillant).

Édité par @JBis

Le script utilisateur suivant a réussi à bloquer la page.

     // ==UserScript==
     // @name         The Bomb Squad
     // @version      0.1
     // @description  Blocks the pages containing any function with the bomb_ch function detailed in https://apple.stackexchange.com/questions/329594/prevent-spam-downloads-on-safari and https://blog.malwarebytes.com/malwarebytes-news/2018/02/tech-support-scammers-find-new-way-jam-google-chrome/
     // @author       Josh Brown (@JBis https://apple.stackexchange.com/users/263848/jbis)
     // @match        *
     // @grant        none

    // ==/UserScript==

   if (typeof bomb_ch === "function") {
     document.getElementsByTagName("body")[0].innerHTML="<h1>Page Defused by The Bomb Squad</h1><p>Because it contatained the following
 function(s):  <pre>bomb_ch()</pre> <br>";
    }

Remarque : Les sp(c)ammeurs peuvent facilement contourner ce problème en randomisant les bomb_ch() función.

Les nouvelles versions du système d'exploitation Safari pourraient permettre de réduire un peu ce phénomène, mais les personnes qui diffusent ces saloperies sur votre Mac gagnent de l'argent et s'adapteront donc probablement à toutes les technologies qui tentent de faciliter le blocage. À moins que vous ne soyez prêt à dépenser plus d'argent pour soutenir une entreprise qui gère une bibliothèque de paramètres capables de faire du "whack-a-mole" et de s'adapter plus rapidement que la technologie de l charlatans peuvent créer un nouveau code dans leur chaufferie .

Vous devrez également décider si les sites web qui font cela sont également charlatans qui font partie de l'escroquerie car ils devraient savoir que cela vous arrive à vous, l'un des visiteurs qu'ils hébergent.

5voto

Mapad Points 3033

S'il existe de nombreux bloqueurs de publicité pour Safari, il y a beaucoup moins de choix pour les bloqueurs de contenu à spectre plus large, basés sur des extensions. Parmi ceux-ci, seuls deux sortent du lot : Ghostery et uBlockOrigin [ lien d'information : https://github.com/gorhill/uBlock lien de téléchargement : https://safari-extensions.apple.com/?q=ublock%20origin .

EDITAR: Ne confondez pas uBlock Origin avec uBlock, qui porte le même nom, . Les deux produits sont très différents en termes de capacité et la réputation.

Peuvent-ils faire ce que vous voulez et empêcher le bombardement de téléchargement que vos amis ont connu ? Oui, à la différence que Ghostery nécessiterait une personnalisation des règles alors que uBlockOrigin est configuré pour le faire par défaut.

Je sais que uBlockOrigin a bloqué cet exploit particulier un mois avant l'annonce de Malwarebytes dans votre lien "Plus d'infos". Je ne connais pas la chronologie de Ghostery.

Je vous recommande de les essayer tous les deux.

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

X