Mi permetto di postare la seguente segnalazione di
reindirizzamento al download di un software da un sito molto conosciuto (in realtà invece del software scarica un malware) perché il problema mi si presenta con Firefox e non con altri browser come Google Chrome.
Lo scopo è quello di capire il meccanismo che fa reindirizzare il download su Firefox a differenza di Chrome, e riuscire quindi ad aumentare la sicurezza di Firefox. Il risultato collaterale è poi la segnalazione del fare attenzione nel download dei file da Internet, e particolarmente da quel sito... mi pare buona come cosa.
Cercando un programma che permettesse di scaricare i sottotitoli dei video di YouTube mi imbatto in
Google2SRT, trovandolo sul sito
google2srt.sourceforge.net, e mi dico "ah, da qui posso scaricare tranquillamente... il dominio è
sourceforge.net!". Clicco su scarica e mi reindirizza alla pagina
http://sourceforge.net/projects/google2srt/files/latest/downloadFinché mi si aprono due finestre di download del file.
(EDIT: Dopo altre prove, riavviando il browser, me ne ha aperto solo una, quella farlocca. Ma non anticipiamo niente e continuiamo...)Quindi dicevamo due finestre di download del file: una con dominio sourceforge.net e una con dominio diverso...
w*w.appworldcentral.com!
cosa che mi ha stranizzato: due download, sito diverso e versione "0" quando l'ultima versione dell'installer di Google2SRT non è un exe bensì un msi, e si chiama
google2srt-0.7.3.msi.
Il sito in questione porta su una pagina completamente bianca.
Così comincio a fare un po' di prove, su altri software hostati da sourceforge.net, come per esempio
FileZilla. Pagina di sourceforge:
http://sourceforge.net/projects/filezilla/Vado per scaricare e scarica ancora da w*w.appworldcentral.com...
Provo allora con software mezzi sconosciuti, come questo (http
://sourceforge.net/projects/smoothwall/) e questo (http
://sourceforge.net/projects/texstudio/), e da questi progetti mi scarica invece i file da sourceforge.net!
Tutto questo con
Firefox. Provo con
Google Chrome, che mi scarica tutti i software correttamente da sourceforge.net! (...e dire che, a differenza di Chrome, su Firefox ho installato l'estensione
NoScript, anche se con script abilitati... vabbé, "dettagli"...)
Pare che Chrome sia immune da questo problema e affezioni solo Firefox. Qualcuno riesce a risalire al perché? Non ho provato altri browser.
Così
disabilito gli script, e anche Firefox mi scarica il file corretto! Faccio un po' di prove e vedo che il requisito minimo affinché venga avviato il download dal sito farlocco è abilitare contemporaneamente gli script provenienti da
sourceforge.net e da
fsdn.com:
Il sito fsdn.com dà
errore caricamento pagina.
Ora andiamo agli eseguibili farlocchi. Intanto hanno una bella iconcina
sf (sourceforge) su sfondo bianco:
come a dire "ehi, è un file di sourceforge!".
I file farlocchi scaricati hanno hash tutti diversi tra di loro, anche se scaricati due volte dalla stessa pagina (!). Hanno hash diverso ma comparandoli tra di loro sono tutti uguali presentando una differenza di soli 4 byte su 905.064 (dimensione del file).
Dettagli del programma? Il prodotto si chiama
Program Installer versione 0.0.0.0, con copyright
Installer Generic! Ma che bello!
Ma il file ha una
firma digitale almeno? Sì, ce l'ha! E ha firmato la
Theory Media (Fried Cookie Ltd)! Suvvia... chi non la conosce!?
Anche se il timestamp non è presente.
Il
certificato della firma è stato rilasciato dalla
GlobalSign CodeSigning CA - G2, ed è un certificato valido! Dal 28/04/2015 al 28/04/2016.
Tutto molto bello.
Provato anche su un profilo pulito di Firefox, e su macchina virtuale.
Esempi in rete di utenti che hanno riscontrato la cosa, sempre su FileZilla:
link 1,
link 2.
Che è successo a sourceforge? È stato hackerato?
Qual è il meccanismo che fa reindirizzare il download su Firefox a differenza di Chrome?
Topic: sourceforge.net scarica malware da www.appworldcentral.com! Solo con Firefox (Letto 1304 volte)