Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 87 reacties
Submitter: Loller1

Scammers zijn misbruik gaan maken van een meer dan twee jaar oude bug in Googles browser Chrome, waardoor pc's zo goed als vastlopen. De scammers hopen dat gebruikers in wanhoop het nummer zullen bellen dat zij dan op het scherm hebben getoverd.

Scammers maken gebruik van de bug waarvan Google in juli 2014 voor het eerst hoorde door in één klap te proberen miljoenen favorieten op te slaan. De browser crasht dan niet, maar blijft hangen op de pagina die de gebruiker heeft openstaan. Niet toevallig staat er op die pagina dan een melding, zogenaamd van Microsoft, dat het systeem een infectie heeft opgelopen, meldt Malwarebytes.

Gebruikers kunnen slachtoffer worden van de scam door een pagina te bezoeken die is ingericht om misbruik te maken van de bug. Door het Chrome-proces te stoppen in de taakbeheerder houdt het weer op, maar in veel gevallen zullen systemen te langzaam zijn om de taakbeheerder te starten, zegt Malwarebytes. Google heeft de bug in 2014 beoordeeld als een met lage prioriteit, omdat het gaat om iets wat alleen de pc kan laten hangen en geen toegang geeft tot gegevens op de computer. Daarom is er nog geen fix. Het is voor het eerst dat er misbruik van de bug is waargenomen. Het is onbekend of en wanneer de browserbouwer de bug gaat repareren.

Moderatie-faq Wijzig weergave

Reacties (87)

Scammers maken gebruik van de bug waarvan Google in juli 2014 voor het eerst hoorde door in één klap te proberen miljoenen favorieten op te slaan.
Dat voorbeeld op die pagina gaat niet over het opslaan van favorieten. Dit is eerder het manipuleren van de browsergeschiedenis dat gebruikt wordt bij bijvoorbeeld de "back" button in uw browser.
---

REPRODUCTION CASE
Full attack included, Simplest case:

for(var i = 0; i<1000000; i++){
history.pushState(null,'','');
}
Is dit niet dezelfde bug als die website / link waarmee Safari op iOS toen gecrasht kon worden?

edit: even Google gecheckt: dit was inderdaad wat de website www.crashsafari.com gebruik(te).

Als mensen willen weten hoe zo een History.pushState bug wordt gebruikt: klik hier voor uitleg van Tom Scott!

[Reactie gewijzigd door ApexAlpha op 3 november 2016 16:19]

Ja, klopt! Werkt zoals ik hier aangaf ook op andere (mobile) browsers. Dus bashen op Chrome is niet van toepassing, want op Firefox werkt het ook. ;) In Edge lijkt het niet te werken, althans niet op mijn PC.
Wel een pro op deze manier. Edge: Bestand tegen exploits!
Maar niemand gebruikt edge.
error displaying page.
Vroegahhh kon het nog eenvoudiger;
<iframe src="iframe.htm">
Kreeg je een Droste Effect van een iFrame in een iFrame in een iFrame, etc...

Liep het geheugen direct vol en je hele systeem vast...
Voor diegenen die het zich (zoals mezelf) afvragen: Nee, dit werkt nu niet meer.
Getest op: Opera, IE11, Edge, Firefox, Chrome, Safari (mobile)
Klopt - ze laten 2, hooguit 3 geneste iFrames zien.

Toen dit truukje net uitkwam, stond heel de wereld op zijn kop (niemand had het vooraf bedacht)...
of dit in internet explorer:
file:///con/con
kreeg je een BSOD.
Dat is windows 95 tijdperk. heb je nog meer uit de oude doos? Met wat zoeken kom je nog heel wat Netscape ellende tegen uit die tijd ;)
<img src=”file:///C:/con/con”>
Werkte blijkbaar ook in Firefox. Komt erop neer dat C:/con een device is, en C:/con/con dus geen geldig path is.

Bron
toen men nog 8mb werkgeheugen had ;)
Ah, jaloers! Ik had 720kb in mijn PC.
Battlefield 1 op 1 frame per uur :)
Commander Keen? Of was dat nog te futuristisch?
Een meer effectieve versie:

String.prototype.repeat = function( num )
{
return new Array( num + 1 ).join( this );
}

var dir = "root/thing/"
for(var i = 0; i<1000000; i++){
history.pushState(dir+"string to repeat/".repeat( i ),'','');
}

Dan haal je computers die meer dan X gb geheugen hebben ook onderuit.
Google publiceert na 7 dagen bugs van bedrijven omdat ze vinden dat dit "helpt". Maar als het bij hun zelf voorkomt dan doen ze alsof hun neus bloed. Beetje jammer weer...

Google heeft een update uitgebracht, zie alleen niet terugkomen of ze deze bug gefixed hebben.

[Reactie gewijzigd door vali op 3 november 2016 15:58]

Dat zijn totaal verschillende situaties. Deze bug is gewoon al 2 jaar publiek en relatief onschuldig.

Edit: bug is niet gefixed, hier kan je de progress zijn: https://bugs.chromium.org/p/chromium/issues/detail?id=394296

[Reactie gewijzigd door P1nGu1n op 3 november 2016 16:18]

Hoe weet jij dat deze relatief onschuldig is ?
Scammers zijn een plaag en zoeken steeds nieuwe wegen en dit is er eentje van.

Daarnaast 2 jaar voor een bug niet fixen is zelfs voor google veel te lang en ja natuurlijk mag je dan roepen dat google anderen wel maar 7 dagen de tijd geeft en dit 2 jaar laat liggen.
Omdat dat in de omschrijving staat. Het is geen lek, de manier waarop de scammers er gebruik van maken maakt de mens tot lek. Je bent zelf zo stom om een nummer te gaan bellen dat zogenaamd van Microsoft is.

Ik vind het volkomen terecht dat Google zich richt op bugs die _wel_ direct toegang geven tot jouw gegevens. Goed, twee jaar ongefixt laten is wel erg lang, onderhand mag er wel een keer een fix voor komen, maar goed, je kunt er vrij weinig mee. Mensen die hierin trappen zijn op tal van andere manieren ook wel om de tuin te leiden :)
Mja, dat is voor jou simpel.. maar vooral oudere mensen kunnen het verschil niet meer zien... dat is het gemene. Dus er mag best een oplossing komen.. :)
Ik zeg ook niet dat er geen oplossing hoeft te komen, maar dat er andere bugs zijn die daadwerkelijk toegang geven tot jouw computer. Die treffen die oudere mensen ook en zullen eerder misbruikt worden. Puur een kwestie van: wat is het grootste risico en focus je daar op.
Sorry, maar als een website meer dan 10 keer in een seconde een history ding toe te voegen dan zou ik die website als browser toch eens op z'n vingers tikken door dat niet toe te staan. Het idee van History.pushstate() is dat er marks toegevoegd kunnen worden voor one page site navigatie. Dat als je terug gaat je niet direct de tab sluit je je terug naar about_blank gaat en daarbij al je wijzigingen weggooit.
Daar hoef je geen sorry voor te zeggen, want daar ben ik het gewoon mee eens. Het enige wat blijkbaar niet duidelijk is (al begrijp ik niet waarom) dat ik vind dat de prioriteit hoort te liggen bij de gevaarlijkste bugs en dat zijn nog altijd de bugs die kwaadwillenden toegang geven tot je computer.

Ik heb het hierboven ook al gezegd, maar ik vind 2 jaar veel te lang voor het oplossen van zo'n lage prioriteit bug (maar ook daar leest iedereen overheen :D).
Ik zag hey wel, maar lage prio is geen excuus voor zoiets stoms en simpels.
Tja een typische tweaker reactie die er maar simpel van uitgaat dat iedere computer gebruiker dezelfde kennis als hijzelf heeft.

Jij noemt het stom maar is dat wel zo stom als jou kennis van computers niet verder gaat dan aan uit knop, druk op programma, beetje surfen, skype en dat is het.

Weet je wat stom is, jou reactie, het toont aan dat je je niet kan verplaatsen in anderen die niet zo denken als jij.
Weet je wat stom is (behalve "jou" zonder "w" :P)? De hele reactie niet snappen en niet begrijpen dat een bug die direct toegang geeft gevaarlijker is dan een bug die je browser laat crashen, maar verder niks gevaarlijks doet. Je hoeft niet zo lomp te reageren hoor, beetje lange tenen?

Waar ik op doel is dat je als ontwikkelaars doorgaans tijdgebrek hebt en dus moet kiezen uit diverse gerapporteerde zwakheden in je software. Als je dan moet kiezen tussen kritische bugs die gevaarlijk zijn of een bug als deze die alleen je browser doet crashen, zou ik wel weten waar ik me op zou richten. Dan kun je moralistisch roepen dat ik een tweaker ben en dus de eerste bug niet belangrijk vind, maar dan snap je niet dat ondanks dat ik het een lage prio zou geven, ik nergens zeg dat het niet opgelost hoeft te worden. Sterker nog: ik zeg letterlijk dat het na 2 jaar onderhand wel eens mag.

[Reactie gewijzigd door Grrrrrene op 3 november 2016 19:34]

De bug was eerst alleen een crash bug. Voor websites zoals www.crashchrome.com en zo. Niet echt prioriteit. Voor zover ik weet is dit de eerste keer dat scammers hem gebruiken. Vandaar ook het bericht hier. Zal nu in de prioriteitenladder wel omhoog gaan. Mag ik hopen.
Tja triest eigenlijk als het nu ineens omhoog kan omdat scammers het gebruiken. De vraag is hoe lang gebruiken ze het al en hoeveel hebben ze er dankzij schildpad google meer verdiend.
Niet echt prioriteit... maar dan moet die toch wel binnen een paar maanden opgelost kunnen worden?
2 jaar niet oplossen is gewoon achterstallig onderhoud waarbij je hoopt dat er niet meer van dit soort kleine niet hoge prio bugs zijn die per ongeluk samen een groot gat kunnen vormen.

Hoe moeilijk kan het zijn om deze bug te fixen?
Kan wel zijn dat deze onschuldig is (tot op heden dus) maar dat soort bugs hoort gewoon geen 2 jaar open te staan, zeker niet als het bugs zijn die destijds reeds breed in de media werden getoond.
It's not a bug, it's a feature.


Dat is een oude bekende ;)
Als de browser vastloopt op een website, kill je het process van de browser. Een onwetende zet desnoods zijn pc uit. Daarna surf je nooit meer naar die website, waardoor je geen last meer hebt van die bug. Voor een eenmalig feit gaat men geen onbekend (buitenlands) nummer bellen hoor.
Voor een eenmalig feit gaat men geen onbekend (buitenlands) nummer bellen hoor.
Daar vergis je je toch sterk in. Een leek is al snel in paniek, twijfelt, en belt dan het nummer. Het is niet voor niets dat deze vorm van oplichten zo succesvol blijkt. (Je voordoen als iemand van een vertrouwd bedrijf als bijvoorbeeld Microsoft)
Idd... het was één van de grappigste telefoongesprekken die ik ooit had een jaar of 2 geleden... in Engels met veel haar op en met een overduidelijk Indisch/Pakistaans accent werd ik gebeld met de melding dat ze een medewerker was van Microsoft en ontdekt had dat mijn Windows pc geïnfecteerd was (ik had toen al jaren helemaal géén pc thuis!) en zij dat voor mij, uiteraard tegen betaling, wou oplossen, en ik het arme scammertje bijgevolg letterlijk aan het lijntje hield... }>
tot ze boos inhaakte en ik nooit meer teruggebeld werd.

Nu was deze specifieke situatie misschien grappig omdat ik ogenblikkelijk wist welk vlees ik in de kuip had en besliste om lekker mee te spelen, maar veel minder grappig is het grove geld dat er verdiend wordt aan al die mensen die zich hieraan laten vangen. En je kan moeilijk van iedereen verwachten dat ze IT-specialisten zijn.

Dit gezegd hoef je eigenlijk ook geen IT-specialist te zijn om de basics van dit soort oplichting te herkennen, het zou wellicht een goed idee zijn om mensen daar op de ene of de andere manier over te informeren, via kanalen die hen bereiken...

Als ik kijk naar mijn ouders; beiden 65+ en nog heel kwiek... maar op gebied van PC gaat het niet verder dan het nieuws eens lezen en hier en daar een mailtje checken -en dan naar mij bellen omdat ze de replyknop niet kunnen vinden en als ik dan vraag welk mailprogramma ze gebruiken is het antwoord 'Windows' |:( -.... er zou toch wat meer informatie over o.a. online criminaliteit en 'de dingen waarop je moet letten' geleverd mogen worden bij het kopen van een computer/laptop... niet dat iedereen het zal lezen maar als het al een deel van deze mensen bereikt zou het toch mooi zijn...

[Reactie gewijzigd door EagleEye1290 op 3 november 2016 17:02]

Herkenbaar. M'n broer (eigen computerzaak, reparatie en verkoop) had er ook een keer een aan de lijn. Laptopje erbij gepakt dat kaal was en hem z'n gang laten gaan, puur om te kijken wat die stiekem allemaal uitvoert.

Als je weet wat ze doen en je hoort wat ze zogenaamd doen, erg lachwekkend allemaal haha
Ik had er laatst een lekker in een vm zijn gang laten gaan en zij naderhand, zal ik de vm dan nu maar afsluiten? Daarna werdt het heel stil en daarna wat gescheld.
Leuke is dan wel dat de échte Microsoft support dan ook in India zit. Dus dat is een slecht herkenning punt.
Maar als ze vragen om een remote control sessie en je wordt naar een andere site dan support.microsoft.com/help doorverwezen, dan weet je al genoeg natuurlijk.
Je onderschat de stommiteit / onwetendheid van veel mensen...
Jij onderschat ook de luiheid van veel mensen. Mensen zijn te lui om te bellen.
Jij onderschat de angst van veel mensen. Een goede motivator, zeker icm onwetendheid populair in het populistische polder politiek poppentheater.
Daar ga je dus compleet de mist in. Mensen en voornamelijk ouderen zijn als de dood dat hun vakantiefoto's weg zijn. Deze angst + niets snappen van technologie en ze bellen dit nummer. Het is een enorm probleem / miljoenenbusiness. Dit is geen wilde gok van me, maar een feit.

De scammers "verkopen" ze Lifetime protection plans voor honderden euro's, en na genoeg slachtoffers nemen ze een nieuw nummer + website.

[Reactie gewijzigd door lagonas op 3 november 2016 16:17]

Luiheid is echt een non issue hier. Zeker zijn er mensen die te lui zijn om voor onbelangrijke zaken te bellen.

Maar denk niet dat zij lui blijven wanneer ze ervan overtuigd zijn dat een kostbaar bezit van hun in gevaar is.
Voor een eenmalig feit gaat men geen onbekend (buitenlands) nummer bellen hoor.
Van de 1000 mensen is er altijd wel iemand die het wel doet. Dit is bij Spam mail of andere scams niet anders. Als er maar genoeg mensen het te zien te krijgen is er altijd wel iemand die er in trapt. Als er niemand in zou trappen zouden email scams als: U heeft 10 miljoen gewonnen ook niet meer gebruikt worden.
klopt! Waarna bij killen en daarna het opnieuw starten van de browser, deze vraagt om de sessie te herstellen. Met als gevolg dat dezelfde pagina's worden geladen. Inclusief die malafide. Vervolgens denkt de onwetende gebruiker. Nou er zou wel echt iets mis zijn met mijn pc 8)7
[...] Daarna surf je nooit meer naar die website, waardoor je geen last meer hebt van die bug. [...]
Tot een advertentie-provider dingen gaat serveren waardoor de gewone sites zoals nieuwssites die reclames tonen ook je browser laten hangen.
Veel succes, deze bug laat niet alleen de browser vastlopen namelijk, maar afhankelijk van hoe krachtig je PC is zal ook die gewoon stoppen met reageren, of héél traag.
Je vergeet de 'continue where I left off' functie in chrome, de reden dat veel mensen ook niet van hun polititievirus af konden komen was dat als ze de browser startte die pagina weer opende.
Ik ben zelf vooral benieuwd wat ze willen bereiken met deze telefonische scam. Is het dan een duur betaalnummer waardoor ze geld verdienen of proberen ze telefonisch gegevens buit te maken?
Het zou mooi zijn als iemand van de tweakers.net redactie eens zou bellen naar het nummer. Of gaat dit te ver voor journalisten?
Dat lijkt me inderdaad wel leuk, natuurlijk wel met een goedkoop prepaid kaartje ;)
Als je pech hebt, allebei. Dure nummers komt voor, maar ook mensen die je actief met de hand malware laten installeren komt ook voor.

Edit: het nummer in bovenstaand screenshot is een gratis nummer (vanaf een USA vaste lijn), dus ik ga uit van optie #2.

[Reactie gewijzigd door Peetz0r op 3 november 2016 16:03]

In veel gevallen proberen ze je een lifetime protection plan aan te smeren voor zo een 500 euro. Zoek maar eens op YouTube naar "indian scammer". Zijn duizenden voorbeelden waar techneuten de scammers in de maling nemen

Edit: deze scammers zijn trouwens enorme callcenters waar in sommige gevallen de medewerkers niet eens doorhebben dat ze scammen.

[Reactie gewijzigd door lagonas op 3 november 2016 16:29]

Ho de ironie. Tegen Microsoft klagen over een bug na 7 dagen, maar zelf een probleem dat een hele computer kan laten vastlopen na 2 jaar nog steeds niet hebben herstelt.
Dat is apple's met android's vergelijken.
Hier hebben we over een bug, die niet direct bij je gegevens kan.

Maar dan alsnog is 2 jaar wel lang voor een simpel fix. Hardlimiet plaatsen op history push. (max 10 p/s)
Juli 2014, lekker op tijd Google. En maar met de vinger wijzen naar concurrenten dat ze moeten schieten na 7 dagen.
Diezelfde bug is trouwens ook niet opgelost in FireFox. Andere browsers heb ik niet getest. Het werd begin dit jaar ook al besproken op het forum: Geef deze idioot maar een ban . Probeer de link in die forum post maar eens.

[Reactie gewijzigd door biglia op 3 november 2016 16:11]

Die scammers moeten toch echt wat aan hun taalfouten doen..
Of net niet.

Mensen voor wie de taalfouten niet of minder opvallen behoren sneller tot hun doelgroep: minder oplettende mensen (muv dyslexie). Hierdoor moeten ze minder tijd besteden aan mensen die toch nog bellen maar het dan direct door hebben dat het over een scam gaat. Zie het als een vorm van eerste pre-selectie tussen slachtoffers :)
Klopt, was ook iets sarcastisch bedoeld :)

[Reactie gewijzigd door Randleman op 3 november 2016 16:34]

  • 1 zin
  • in tekstvorm
  • door onbekende
  • op internet
Sarcasme is zo niet te detecteren.
Snap ik. Daarom gaf ik het ook even aan :).
Ja hoor, is prima te doen (!)
Mensen gebruiken te weinig emoji's.
Nu is het aan Microsoft om dit aan de grote klok te hangen. Zijn een stelletje mooie daar bij Google. Wel met de vinger wijzen naar anderen en kritieke lekken publiceren, maar zelf problemen in de doofpot stoppen. Eerst Stagefright en nu dit? In allebei de gevallen reageert Google niet adequaat, maar wel naar anderen wijzen en anderen een oor aan naaien.
Dit lek is door google zelf gewoon in 2014 al bekendgemaakt.
Compleet ander geval dan de MS bug waar je naar verwijst, ook als je de werking van de bug en de manier waarop dit zou kunnen worden misbruikt bekijkt.

Wat natuurlijk niet wegneemt dat deze bug allang gefixed had moeten zijn.
Het is een andere situatie maar dat neemt niet weg dat Google's aanpak m.b.t. lekken vreemd, gevaarlijk en arrogant is.

Wie zijn zij om een superstrakke deadline te zetten op de fix van een lek? Als ze echt security in gedachten hadden, houden ze de communicatie gewoon onderling. Door te vroeg te publiceren op basis van een zelfverzonnen deadline brengen ze rechtstreeks gebruikers in gevaar.

En dit door een bedrijf met de allerslechtste beveiligings- en privacy reputatie op aarde. Maar dat zal natuurlijk weer de schuld zijn van Android fabrikanten, en niet Google. Lekker makkelijk weer.
Ik zeg nergens dat ik het eens ben met de aanpak van google mbt het openbaar maken van lekken.

Ik geef wel aan dat dit geval gewoon niet vergeleken kan worden met het geval van MS dat door google openbaar gemaakt is, iets dat velen hier in de reacties, m.i. dus ten onrechte, wel doen.
Scammer kunnnen nog steeds niet fatsoenlijk schrijven. Het internet is al zo oud en nog steeds is er geen phishing, scareware, of scam-mail zonder schrijffouten.
doen ze expres, zo filter je oplettende mensen eruit die niet in scams vallen.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True