Verhindern Sie Spam-Downloads auf Safari

8

Hintergrund

Auf vielen "fragwürdigen" Websites (Filmwebsites usw.) wird eine neue Spam-Seite angezeigt. Diese neue Spam-Seite passt in die Kategorie der gefälschten Scans, MacKeeper, "SIE HABEN EINEN VIRUS" usw. Kategorie.

Problem

Das Problem mit dieser neuen Seite ist, dass die Seite nicht nur ein Popup hat, sondern alle ~ 1 ms wiederholt einen Download von zufälligen 2-KB-Dateien (nicht schädlich, enthält nur zufälligen Text) wiederholt. Der Download-Ordner füllt sich, bevor Sie das Fenster schließen und mehr als 1000 Dateien löschen können. Im Gegensatz zu einem ähnlichen Problem, bei dem ein Seiten-Spam den Druckdialog aufruft, bleibt nur sehr wenig Zeit, um zu reagieren.

Fehlgeschlagene Fehlerbehebungsversuche

  • Ich habe versucht, den Download-Ordner zu sperren. Während es verhindert hat, dass die Downloads ... nun ... heruntergeladen werden, wird ein Dialogfeld (siehe Bild) angezeigt. Normalerweise könnte ich dieses Dialogfeld einfach schließen, aber da der Download alle ~ 1 ms versucht wird, wird bei jedem Versuch, das Dialogfeld zu schließen, ein neues Dialogfeld angezeigt, das mich daran hindert, das Fenster zu schließen.

  • Erzwinge das Beenden von Safari, wodurch der Download gestoppt wird (nach 1k's Downloads), aber dann verliere ich alle meine anderen Fenster

  • Ändern der Einstellungen in "Nach jedem Download fragen" in den Safari-Einstellungen. Funktioniert nicht, da 1 KB separate Dialogfelder geöffnet sind und ich nicht einmal die Registerkarte schließen kann. Irgendwann stürzt Safari ab.

Geben Sie hier die Bildbeschreibung ein

Geben Sie hier die Bildbeschreibung ein

Frage

Wie kann ich Spam-Downloads in Safari verhindern?

AKTUALISIEREN:

Hier ist der Code, der den Download verursacht (durch Deaktivieren von JavaScript und manuelles Durchsuchen des Codes):

 function download(g, h, j) {
                var k = new Blob([g], {
                        type: j
                });
                if (window.navigator.msSaveOrOpenBlob) window.navigator.msSaveOrOpenBlob(k, h);
                else {
                        var l = document.createElement("a"),
                                m = URL.createObjectURL(k);
                        l.href = m, l.download = h, l.click(), setTimeout(function() {}, 0)
                }
        }
        function bomb_ch() {
                var g = Math.random().toString(36).substring(20),
                        h = Math.floor(50 * Math.random() + 25);
                while (true) download(h, g, g)
        }
        function ch_jam() {
                bomb_ch()
        }

Hinweis: Ich hatte einige Probleme beim Ausführen des JS auf einer benutzerdefinierten Seite. Es fror statt heruntergeladen. Ich konnte den Download mithilfe einer setInterval()Funktion emulieren, die die Funktion aufruft download.

Weitere Informationen: https://blog.malwarebytes.com/malwarebytes-news/2018/02/tech-support-scammers-find-new-way-jam-google-chrome/

JBis
quelle
Kommentare sind nicht für eine ausführliche Diskussion gedacht. Dieses Gespräch wurde in den Chat verschoben .
bmike
@JBis Die Zeit ist fast abgelaufen, um das Kopfgeld zu vergeben
Matt
@ Matt Ich bekomme noch 24 Stunden. Und ich vergebe keine Antwort in der aktuellen Form.
JBis

Antworten:

5

Wäre dies nicht ein guter Fall für einen Safari-Inhaltsblocker / Javascript-Blocker, der selektiv ist?

Ghostery ist möglicherweise ein guter Ausgangspunkt für den Mac, um zu prüfen, ob Sie vorgefertigte Regeln verwenden können, um Cross-Site-Scripting / Anzeigeninjektion von Code in Webseiten zu unterbinden. Wenn die Seite diesen Inhalt direkt bereitstellt, müssen Sie natürlich Javascript auf dieser Seite vollständig deaktivieren oder die Websites, die Ihre Erfahrung absichtlich oder aufgrund des Verkaufs von Anzeigeninjektionen an Dritte mit den Mitteln dazu beeinträchtigen, zur Kenntnis nehmen und blockieren leisten Sie sich diese Angstware und Betrugsware.

Wenn Sie genauer sein möchten - Benutzer-Scrips vom Typ GreaseMonkey könnten dies mit ausreichend JS-Kenntnissen bekämpfen (oder jemanden finden, der das Skript geschrieben hat, um die heutige Iteration dieser Malware zu blockieren).

Bearbeitet von @JBis

Das folgende Benutzer-Skript hat die Seite erfolgreich blockiert.

     // ==UserScript==
     // @name         The Bomb Squad
     // @version      0.1
     // @description  Blocks the pages containing any function with the bomb_ch function detailed in /apple/329594/prevent-spam-downloads-on-safari and https://blog.malwarebytes.com/malwarebytes-news/2018/02/tech-support-scammers-find-new-way-jam-google-chrome/
     // @author       Josh Brown (@JBis https://apple.stackexchange.com/users/263848/jbis)
     // @match        *
     // @grant        none

    // ==/UserScript==

   if (typeof bomb_ch === "function") {
     document.getElementsByTagName("body")[0].innerHTML="<h1>Page Defused by The Bomb Squad</h1><p>Because it contatained the following
 function(s):  <pre>bomb_ch()</pre> <br>";
    }

Hinweis: Sp (c) Ammer können dies leicht umgehen, indem sie die bomb_ch()Funktion randomisieren .

Neuere Betriebssystemversionen von Safari könnten dazu beitragen, dies ein wenig zu reduzieren, aber es gibt Geld, das von Leuten verdient werden kann, die diese Menge Mist auf Ihren Mac liefern, damit sie sich wahrscheinlich an alle Technologien anpassen, die versuchen, das Blockieren zu vereinfachen. Es sei denn , Sie sind bereit , mehr Geld ausgeben , um ein Unternehmen zu unterstützen, die eine Bibliothek von Einstellungen unterhalten die „Whack-a-Mole“ und anpassen schneller als die Scharlatane neuen Code in ihrem kochen können Heizraum .

Sie müssen sich auch entscheiden, ob die Websites, die dies tun, auch Scharlatane sind, die Teil der Con sind, da sie wissen sollten, dass Ihnen, einem der von ihnen gehosteten Besucher, dies passiert.

bmike
quelle
2
@JBis Tampermonkey funktioniert, wenn Sie es manuell installieren: Bypass 'Safari unterstützt die unsichere Erweiterung nicht mehr' in macOS Mojave
grg
1
@grg Grg ( der Sound ) Sie müssen jeden Browser-Neustart erneut ausführen :)
JBis
5

Während es für Safari viele fähige Werbeblocker gibt, gibt es für Erweiterungs-basierte Inhaltsblocker mit breiterem Spektrum weitaus weniger Auswahlmöglichkeiten. Von diesen stechen nur zwei hervor: Ghostery und uBlockOrigin [ Informationslink: https://github.com/gorhill/uBlock Download-Link: https://safari-extensions.apple.com/?q=ublock%20origin .

BEARBEITEN: Verwechseln Sie uBlock Origin nicht mit dem sehr ähnlich benannten uBlock , . Die beiden Produkte unterscheiden sich erheblich in ihren Fähigkeiten und ihrem Ruf.

Können sie tun, was Sie wollen, und verhindern, dass Ihre Freunde Download-Bombenangriffe erleiden? Ja, mit dem Unterschied, dass Ghostery einige Regelanpassungen benötigt, bei denen uBlockOrigin als Standard festgelegt ist.

Ich weiß zufällig, dass uBlockOrigin diesen bestimmten Exploit einen Monat vor der Ankündigung von Malwarebytes in Ihrem Link "Weitere Informationen" blockiert hat. Ich weiß nichts über Ghosterys Zeitleiste.

Ich würde empfehlen, dass Sie beide testen.

Doc G.
quelle
Bitte nicht löschen Antwort. Kann trotzdem anderen helfen. Ich werde weiterhin testen, ob das Tool mit benutzerdefinierten Regeln blockieren kann.
JBis
@JBis, wenn Sie eine URL im Chat einrichten möchten, die wir später löschen können, pingen Sie mich dort an. Wollen Sie damit sagen, dass der einzige Klick "Alle deaktivieren" von Ghostery Sie nicht vor dieser Funktion schützt?
bmike