Itty.bitty.site puede usarse de forma malintencionada

Hace unos días saltó la noticia del nuevo sitio Itty Bitty Site. Hablaban de las maravillas que se podía hacer con él de forma “anónima”, y de que era una excelente herramienta para los amantes de Twitter, ya que puedes saltarte la limitación de caracteres, compartiendo un link a este sitio.

Una de las peculiaridades que presenta, es que se puede ejecutar javascript en él. Repito. SE PUEDE EJECUTAR JAVASCRIPT EN ÉL.  Pues bien, como somos NotMINING y estamos para investigar este tipo de cosas, ¿qué hicimos?, investigar.

Emulando las infecciones recientes que ha habido mediante un iframe, como están llevando a cabo con el redireccionador “Cnhv” de Coinhive, hice lo mismo. Primero cree mi script, bueno, en realidad lo cogí prestado y lo pegué en una página en blanco del sitio. 

Ahí lo tenéis. Un script super bonito de Coinhive. El paso segundo es muy fácil. Ya tenemos nuestro script, hemos comprobado que funciona, así que, vamos a introducirlo, mediante un iframe, en una página de prueba.

Listo. Como podéis comprobar el iframe está insertado, y la página web está minando. Hemos tardado a penas unos minutos en realizarlo, sin que se presente ningún tipo de problema.

Problemas de seguridad:

Los problemas principales que presenta esta página es que, una vez creada la URL, no se puede borrar, ya que “no pertenece a ningún usuario”. Otro de los problemas es que no introduce ningún método de seguridad, como ellos mismos reconocen en el apartado dedicado a este tema en su página.

Saben que en un futuro el sitio puede degradarse pero, de momento, no han hecho nada por evitarlo.

A todo esto se le suma que no hay código detectable. Cuando inspeccionas el sitio que has creado, el único código que aparece es el del servicio, en ningún momento el código que tu has insertado, con lo cual, es más complicado de detectar.

De momento, la única forma de detectarlos, siempre y cuando no hayan sido detectados antes, es mediante red. Para ello, como ya sabéis, podéis usar nuestro script “Persistent Monitoring“.

José C. García Gamero.

Añadir un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *