{"id":175,"date":"2012-07-22T22:43:23","date_gmt":"2012-07-22T22:43:23","guid":{"rendered":"http:\/\/oguzkartal.net\/blog\/index.php\/2012\/07\/22\/facebook-zararli-eklentileri-ve-kurtulma-metodlari\/"},"modified":"2021-10-31T16:05:13","modified_gmt":"2021-10-31T13:05:13","slug":"facebook-zararli-eklentileri-ve-kurtulma-metodlari","status":"publish","type":"post","link":"https:\/\/www.oguzkartal.net\/blog\/index.php\/2012\/07\/22\/facebook-zararli-eklentileri-ve-kurtulma-metodlari\/","title":{"rendered":"Facebook Zararl\u0131 Eklentileri ve Kurtulma Metodlar\u0131"},"content":{"rendered":"

Bu yaz\u0131mda Facebook \u00fczerinden yay\u0131lan spam & zararl\u0131 i\u00e7erikli eklentiler hakk\u0131nda bilgiler verece\u011fim. \u00d6nce bu tip eklentilerin yap\u0131s\u0131n\u0131, nas\u0131l yay\u0131ld\u0131klar\u0131n\u0131 daha sonra da bu zararl\u0131 eklentileri nas\u0131l temizleyebilece\u011finizi \u00f6\u011frenmi\u015f ve ileride bu t\u00fcr uygulamalara kar\u015f\u0131 bilin\u00e7lenmi\u015f olacaks\u0131n\u0131z.<\/span><\/p>\n

Herkes en az bir defa bu tip \u015feylerle kar\u015f\u0131la\u015fm\u0131\u015ft\u0131r. Bir arkada\u015f\u0131n\u0131zdan baz\u0131 \u00fcr\u00fcn vb. olaylar hakk\u0131nda duvar\u0131n\u0131za \u00e7e\u015fitli mesajlar geldi\u011fini g\u00f6rm\u00fc\u015fs\u00fcn\u00fczd\u00fcr. Normalde arkada\u015f\u0131n\u0131z\u0131n bundan haberi olmaz bunu yapan maruz kald\u0131\u011f\u0131 zararl\u0131 eklentilerdir.<\/span><\/span><\/p>\n

\u00d6rne\u011fin d\u00fcn kar\u015f\u0131la\u015ft\u0131\u011f\u0131m bir \u00f6rne\u011fi ele alal\u0131m. Eklenti bula\u015ft\u0131\u011f\u0131 ki\u015finin facebook hesab\u0131ndaki ki\u015filere bir video i\u00e7eri\u011fi gibi g\u00f6r\u00fcnen bir mesaj at\u0131yor. Ve bunu g\u00f6ren ki\u015fi videoyu seyretmek amac\u0131yla play butonuna bast\u0131\u011f\u0131nda olanlar oluyor.<\/span><\/p>\n

\u00d6rne\u011fin; <\/span><\/p>\n

\"exam\"<\/a><\/p>\n

gibi. Burada asl\u0131nda bir video varm\u0131\u015f gibi g\u00f6r\u00fcn\u00fcyor. Ancak bu bir video de\u011fil. Video player g\u00f6r\u00fcnt\u00fcs\u00fcnde bir resim dosyas\u0131 ve i\u00e7erdi\u011fi ba\u011flant\u0131 bu zararl\u0131 eklentiyi y\u00fcklemek i\u00e7in haz\u0131rlanm\u0131\u015f bir adres i\u00e7eriyor. Kullan\u0131c\u0131 izlemek \u00fczere play ikonuna t\u0131klad\u0131\u011f\u0131nda \u015funa benzer bir ekranla kar\u015f\u0131la\u015f\u0131yor. <\/span><\/p>\n

\"virusinstall\"<\/a><\/p>\n

Kullan\u0131c\u0131ya flash player\u2019in g\u00fcncel olmad\u0131\u011f\u0131 konusunda sahte bir mesaj veriliyor. Kullan\u0131c\u0131 bu mesaja t\u0131klad\u0131\u011f\u0131nda kulland\u0131\u011f\u0131 taray\u0131c\u0131ya bir eklenti y\u00fcklenmek isteniyor. Taray\u0131c\u0131 bu konuda kullan\u0131c\u0131y\u0131 uyar\u0131yor ancak \u00e7o\u011fu zararl\u0131 eklenti bunun normal oldu\u011funu belirterek devam edilmesini s\u00f6yl\u00fcyor. \u0130\u015fin ger\u00e7e\u011fi bu uyar\u0131lar her t\u00fcrl\u00fc uygulama i\u00e7in verilebilir. \u00d6nemli olan kullan\u0131c\u0131n\u0131n g\u00fcvendi\u011fi eklentileri y\u00fcklemesi ve beklenmedik bir eklenti y\u00fckleme iste\u011finde bunlar\u0131 kabul etmemesidir.<\/span><\/p>\n

Kullan\u0131c\u0131 bu noktada devam etti\u011finde, eklentiye ili\u015fkin bir bilgi penceresi ile eklentinin sizin taray\u0131c\u0131n\u0131za ait ne t\u00fcr izinleri istedi\u011fini g\u00f6r\u00fcl\u00fcr. Bu \u00f6rnekte eklenti web siteleri \u00fczerinde tam eri\u015fim hakk\u0131 istiyor. Bu noktada \u015funu bilmenizde fayda var hi\u00e7bir ge\u00e7erli eklenti taray\u0131c\u0131 \u00fcst\u00fcnde tam denetim istecek kadar komplike de\u011fildir ve sadece ihtiya\u00e7 duydu\u011fu izinleri ister. Tam yetki isteyen eklentileri eklememeniz faydan\u0131za olur. Bu noktadan sonra kullan\u0131c\u0131n\u0131n Ekle butonuna basmas\u0131 ile zararl\u0131 eklenti sisteme kurulmu\u015f olur.<\/span><\/p>\n

Bundan Sonra Neler Oluyor<\/h3>\n

Bu andan sonra y\u00fcklenen script sizin facebook hesab\u0131n\u0131za girmenizi bekliyor. Facebook\u2019a ait domain\u2019I taray\u0131c\u0131n\u0131za yazd\u0131\u011f\u0131n\u0131z anda script devreye giriyor. <\/span><\/p>\n

\"1\"<\/a><\/p>\n

Burada zararl\u0131 eklenti dosyas\u0131n\u0131n i\u00e7eri\u011fini g\u00f6r\u00fcyorsunuz. Eklenti \u00e7al\u0131\u015fmaya ba\u015flad\u0131\u011f\u0131nda ilk olarak uzak bir server \u00fczerinde tutulan esas par\u00e7ay\u0131 facebook sayfas\u0131na enjekte ediyor. Ondan \u00f6nce e\u011fer enjekte edilmi\u015f bir script blo\u011fu varsa bir\u015fey yapm\u0131yor. Gerekli scripti \u00e7ektikten sonra bunu taray\u0131c\u0131n\u0131n localStorage\u2019ine yaz\u0131yor. localStorage web sitesi ve eklentilerin kendine ait verilerini saklamakta kulland\u0131klar\u0131 k\u00fc\u00e7\u00fck alanlara denilir. Bu zararl\u0131 eklenti de tekrar tekrar server\u2019dan \u00e7ekmemek i\u00e7in bunu localStorage alan\u0131na kendini ekliyor. Bir sonraki \u00e7al\u0131\u015fmas\u0131nda ilgili scripti<\/span> localstorage\u2019e cache\u2019lenmi\u015f yerden alarak devam ediyor.<\/p>\n

\"2\"<\/a><\/p>\n

K\u0131rm\u0131z\u0131 d\u00f6rtgen i\u00e7ine ald\u0131\u011f\u0131m k\u0131s\u0131m eklentinin ilk \u00e7al\u0131\u015fmaya ba\u015flad\u0131\u011f\u0131nda sayfaya enjekte etti\u011fi bootstrap kodu. \u00d6ny\u00fckleyici olarak g\u00f6rev yap\u0131yor. A\u00e7t\u0131\u011f\u0131n\u0131z facebook sayfalar\u0131na kendini ekliyor. Ard\u0131ndan gelen 2 numaral\u0131 ye\u015fil d\u00f6rtgen i\u00e7ine al\u0131nm\u0131\u015f k\u0131s\u0131m ise bootstrap kodunun enjekte etti\u011fi esas zararl\u0131 script par\u00e7as\u0131. 3 numaral\u0131 b\u00f6l\u00fcme yaz\u0131n\u0131n ilerleyen k\u0131s\u0131mlar\u0131nda gelece\u011fiz. \u015eimdiki odak noktam\u0131z 2. numaral\u0131 blok. 2. numaral\u0131 script blo\u011funu inceledi\u011fimizde; <\/span><\/p>\n

 <\/p>\n

\"9094\"<\/a><\/span><\/p>\n

Yukar\u0131da 2 numaral\u0131 enjekte edilen script\u2019I g\u00f6r\u00fcyorsunuz. Bu k\u0131s\u0131mda 3 farkl\u0131 i\u015flem yap\u0131yor. <\/span><\/p>\n

1. blok spam mesajlar\u0131n\u0131 g\u00f6ndermekte kullanaca\u011f\u0131 access token verisini almak i\u00e7in rastgele belirledi\u011fi bir facebook uygulamas\u0131n\u0131 kullanarak kullanc\u0131y\u0131 otomatik olarak uygulamaya yetkilendirerek o an oturum a\u00e7m\u0131\u015f facebook kullan\u0131c\u0131s\u0131n\u0131n access_token de\u011ferini almak. access_token verisi uygulamalar\u0131n sizin profilinizle alakal\u0131 i\u015flem yapabilmelerini sa\u011flayan yetkilendirme anahtar\u0131d\u0131r. Buna sahip uygulamalar ald\u0131\u011f\u0131 izinler \u00f6l\u00e7\u00fcs\u00fcnde profiliniz \u00fczerinde i\u015flem yapabilir. 1. blok bu i\u015fi g\u00f6r\u00fcnmez bir iframe a\u00e7\u0131p sizden habersiz y\u00fckleterek yap\u0131yor.<\/span><\/p>\n

\"getFrame\"<\/a><\/p>\n

Bu b\u00f6l\u00fcmde ilk blokta g\u00f6rd\u00fc\u011f\u00fcm\u00fcz fetchList.html i\u00e7eri\u011finin Facebook sayfas\u0131na enjekte halini g\u00f6r\u00fcyoruz. Bu script aktif sayfam\u0131zdan ald\u0131\u011f\u0131 kullan\u0131c\u0131 bilgilerimizi arg\u00fcman olarak ge\u00e7iyor. Bu script de bu frame i\u00e7inde bir adet daha g\u00f6r\u00fcnmez frame a\u00e7arak do\u011frulama k\u0131sm\u0131na ge\u00e7iyor. Bu bilgileri de a\u00e7\u0131k olan sayfadan ve cookie bilgilerinden ediniyor. En ba\u015fta belirtmi\u015ftim eklenti t\u00fcm haklar\u0131 istiyordu. T\u00fcm haklar\u0131 alm\u0131\u015f bir eklenti aktif sayfaya kod enjekte edebilidi\u011fi gibi cookie\u2019ler de dahil olmak \u00fczere her bilgiyi edinebilir veya \u00e7alabilir. Bu script blo\u011fu da sizin haberiniz olmadan otomatik olarak onay verdiren kod blo\u011funu y\u00fckletiyor.<\/p>\n

\"autogranter\"<\/a><\/p>\n

Uygulamaya ait do\u011frulama iste\u011fi frame i\u00e7inde \u00e7al\u0131\u015ft\u0131r\u0131ld\u0131ktan sonra otomatik olarak iste\u011fin kabul edilmesini sa\u011flayan kod par\u00e7as\u0131 da frame ile birlikte y\u00fckleniyor. Bu noktadan sonra uygulama siz haberiniz olmadan eri\u015fime a\u00e7\u0131k hale geliyor.<\/span><\/p>\n

 <\/p>\n

Uygulama kimlik do\u011frulama i\u015fletimi yapt\u0131rd\u0131ktan sonra callback (geri \u00e7a\u011fr\u0131m) i\u00e7in verdi\u011fi script\u2019I \u00e7a\u011f\u0131rarak access token de\u011ferini al\u0131yor. Ve ard\u0131ndan spam yapan script blo\u011funu \u00e7al\u0131\u015ft\u0131r\u0131yor.<\/span><\/p>\n

\"authinjection\"<\/a><\/p>\n

Access token al\u0131nd\u0131ktan sonra tekrar script spam g\u00f6nderen scripti sayfaya enjekte ediyor. K\u0131rm\u0131z\u0131 \u00e7izgi alt\u0131nda g\u00f6r\u00fclen mesaj\u0131 post eden script kayna\u011f\u0131. \u0130lgili scripti inceledi\u011fimizde \u015funlar\u0131 g\u00f6r\u00fcyoruz<\/span><\/p>\n

\"postvirus\"<\/a><\/p>\n

Bu script g\u00f6r\u00fcld\u00fc\u011f\u00fc gibi spam i\u00e7eri\u011fi g\u00f6nderiyor. Access tokeni alm\u0131\u015f ve listedeki arkada\u015flardan birinin feed stream\u2019ine g\u00f6nderi yap\u0131yor. Bunu da Facebook\u2019un Javascript API SDK\u2019s\u0131n\u0131 kullanarak yap\u0131yor. Script tam haklarla \u00e7al\u0131\u015ft\u0131\u011f\u0131ndan herhangi bir domain uyu\u015fmazl\u0131\u011f\u0131 sorunu ya\u015fanm\u0131yor. Script bunu kendi i\u00e7inden ba\u015far\u0131yla d\u00fczenleyebiliyor. Mesajda \u201cAcun a\u015f\u0131k olursa :D\u00a0eski zamanlarda h\u0131zl\u0131yd\u0131 adam :D\u201c \u015feklinde bir mesaj ba\u015fl\u0131\u011f\u0131 ile g\u00f6nderi yap\u0131yor. Bu g\u00f6nderiden sonra mesaj kar\u015f\u0131 tarafta \u015f\u00f6yle g\u00f6r\u00fcnecek.<\/span><\/p>\n

\"100\"<\/a><\/p>\n

Art\u0131k ba\u015fka bir kurban\u0131n gelip bu yemi yutmas\u0131n\u0131 bekleyecek :)<\/span><\/p>\n

Peki Nas\u0131l Kurtuluruz?<\/h3>\n

\u00d6ncelikle y\u00fckl\u00fc eklentiyi taray\u0131c\u0131n\u0131zdan kald\u0131rman\u0131z gerek. Google chrome i\u00e7in \u015fu ad\u0131mlar\u0131 izlemeniz yeterli ama di\u011fer taray\u0131c\u0131larda da benzer \u015fekilde \u201ceklentileri y\u00f6net\u201d isimli men\u00fcden yap\u0131labilir.<\/span><\/p>\n

\"virusremove1\"<\/a><\/p>\n

Ard\u0131ndan,<\/span><\/p>\n

\"virusremove2\"<\/a><\/p>\n

Ad\u0131mlar\u0131n\u0131 izleyerek zararl\u0131 eklentiten kurtulabilirsiniz. Bu i\u015flemden sonra facebook hesab\u0131n\u0131zdan \u201cHesap Ayarlar\u0131 \u2013> Uygulamar\u201d men\u00fcs\u00fcn\u00fc takip ederek kendi iste\u011finizle kurmad\u0131\u011f\u0131n\u0131z uygulamalar\u0131 tespit edip kald\u0131r\u0131n.<\/span><\/p>\n

Uygulama bunun yan\u0131 s\u0131ra script bloklar\u0131n\u0131 incelerken daha sonra a\u00e7\u0131klamaya b\u0131rakt\u0131\u011f\u0131m script bloklar\u0131 i\u00e7inden cinsiyete y\u00f6nelik reklam da sunuyor. Script otomatik olarak facebook graph api ile aktif kullan\u0131c\u0131n\u0131n gender cinsiyet bilgisini alarak o ki\u015fiye y\u00f6nelik reklamlar\u0131 facebook reklamlar\u0131 ile de\u011fi\u015ftiriyor.<\/span><\/p>\n

\"graph\"<\/a><\/p>\n

Ard\u0131ndan reklam y\u00fckleyici scripti enjekte ediyor.<\/span><\/p>\n

\"fcbcdc\"<\/a><\/p>\n

Script obfuscate edilmi\u015f. Bunu herhangi bir script evaluator arac\u0131 kullanarak orjinal halini elde edebiliriz. Orjinale \u00e7evirip bakt\u0131\u011f\u0131m\u0131zda facebook reklamlar\u0131n\u0131 silip yerine kendi reklamlar\u0131n\u0131 yerle\u015ftiren bir script ile kar\u015f\u0131la\u015f\u0131yoruz. Yani script sadece spam yapmakla kalm\u0131yor ayn\u0131 zamanda istedi\u011fi \u015fekilde reklamlar\u0131 da manip\u00fcle edebiliyor.<\/span><\/p>\n

Zararl\u0131 eklentiyi sildikten sonra tekrar bu t\u00fcr \u015feylerin ba\u015f\u0131n\u0131za gelmemesi i\u00e7in; <\/span><\/p>\n

1. Duvar\u0131n\u0131za payla\u015f\u0131lm\u0131\u015f her ba\u011flant\u0131y\u0131 do\u011frudan a\u00e7may\u0131n. E\u011fer a\u00e7acaksan\u0131z arkada\u015f\u0131n\u0131za mesaj atarak o mesaj\u0131 kendinin g\u00f6nderip g\u00f6ndermedi\u011fini sorun aksi halde a\u00e7madan kald\u0131r\u0131n.<\/p>\n

2. Duvar\u0131n\u0131z\u0131 ba\u015fkalar\u0131n\u0131n payla\u015f\u0131m\u0131na kapatabilirsiniz. B\u00f6ylece spam i\u00e7erikli mesajlar duvar\u0131n\u0131za gelmemi\u015f olur.<\/span><\/p>\n

3. A\u00e7t\u0131\u011f\u0131n\u0131z ba\u011flant\u0131 sizden bir g\u00fcncelleme yapman\u0131z\u0131, program y\u00fcklemenizi istiyorsa o i\u015fleme devam etmeden mesaj\u0131 silin.<\/span><\/p>\n

4. Facebook\u2019da kar\u015f\u0131n\u0131za \u00e7\u0131kan her uygulama iste\u011fini kabul etmeyin. Kabul ederken uygulama izinlerini kontrol edin uygulaman\u0131n hangi izinleri istedi\u011fini bilip o \u015fekilde uygulamay\u0131 y\u00fckleyin.<\/span><\/p>\n

bu tip eklentiler asl\u0131nda potansiyellerini tam olarak kullanm\u0131yorlar. Bu y\u00f6ntemle \u00e7ok rahatl\u0131kla oturum bilgileriniz \u00e7al\u0131n\u0131p bu bilgiler kullan\u0131larak hesab\u0131n\u0131za eri\u015filebilir. Mesajlar\u0131n\u0131z okunabilir. Veya sizin ad\u0131n\u0131za tan\u0131mad\u0131\u011f\u0131n\u0131z ki\u015filere hakaret i\u00e7erikli mesajlar g\u00f6nderilebilir.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"

Bu yaz\u0131mda Facebook \u00fczerinden yay\u0131lan spam & zararl\u0131 i\u00e7erikli eklentiler hakk\u0131nda bilgiler verece\u011fim. \u00d6nce bu tip eklentilerin yap\u0131s\u0131n\u0131, nas\u0131l yay\u0131ld\u0131klar\u0131n\u0131 daha sonra da bu zararl\u0131 eklentileri nas\u0131l temizleyebilece\u011finizi \u00f6\u011frenmi\u015f ve ileride bu t\u00fcr uygulamalara kar\u015f\u0131 bilin\u00e7lenmi\u015f olacaks\u0131n\u0131z. Herkes en az bir defa bu tip \u015feylerle kar\u015f\u0131la\u015fm\u0131\u015ft\u0131r. Bir arkada\u015f\u0131n\u0131zdan baz\u0131 \u00fcr\u00fcn vb. olaylar hakk\u0131nda duvar\u0131n\u0131za \u00e7e\u015fitli…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[49],"tags":[60,62,61,57,59,58,63],"class_list":["post-175","post","type-post","status-publish","format-standard","hentry","category-security","tag-browser","tag-eklenti","tag-extension","tag-facebook","tag-timeline","tag-virus","tag-zaman-tuneli"],"_links":{"self":[{"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/posts\/175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/comments?post=175"}],"version-history":[{"count":5,"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/posts\/175\/revisions"}],"predecessor-version":[{"id":186,"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/posts\/175\/revisions\/186"}],"wp:attachment":[{"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/media?parent=175"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/categories?post=175"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.oguzkartal.net\/blog\/index.php\/wp-json\/wp\/v2\/tags?post=175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}