Adware AcetoneISO

[beer]

Otevřel jsem iso soubor v asociovaném AcetoneISO a podívejte, co na mne vybaflo?





AcetoneISO jde ihned pryč.

[Nemo7]

AcetoneISO jde ihned pryč.

Není spíš problém v tom, že tu blbost otevřela komponenta prohlížeče(kterou používají v AcetoneISO) a ne přímo AcetoneISO? Nebo jim někdo hacknul stránky a při načtení vyskočil Javascriptový popup. No a abych jenom neplácal své názory, tak to mají tady už celkem dlouho nahlášené jako bug :
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=706741

[beer]

Netuším, ale díky za odkaz, mrknu na něj. Ten druhý obrázek ukazuje, že je adware přímo v tom AcetoneISO na kartě aktualizace. I kdyby to byly jen hacknuté stránky, tak už k tomu programu důvěru nemám. Myslím, že je ale pravděpodobnější, že sami na tom Adware chtějí vydělávat, že tuhle možnost mají, tak jí pronajali nějaké velice podivné firmě. Kdyby to byla nějaká regulérní reklama a ne podvod, tak by mi to tolik nevadilo. Na reklamy na produkty jsem zvyklý třeba z windows třeba z Ashampoo Burning Studia. Protože je to dobrý program, tak tam mi nějaká reklama nevadí. Stupidní podvody typu vyhráli jste, pošlete si sms abyste získali svou výhru mi ale vadí. Navíc je to udělané tak, že BFU vidí, jak se mu odpočítává čas a nepřečete si smluvní podmínky a naletí.

edit:// tak tam píší, že je to již v repozitářích debianu opraveno. Proč to není opraveno v repozitářích ubuntu 13.04 netuším, podívám se, co mám za verzi a případně zablokuji v /etc/hosts

[Nemo7]

I kdyby to byly jen hacknuté stránky, tak už k tomu programu důvěru nemám. Myslím, že je ale pravděpodobnější, že sami na tom Adware chtějí vydělávat ...

Jak už píšou i v tom anglickém popisu bugu, důvodem spuštění reklamy je webový prohlížeč v tabu updates(proto okno JavaScript Alert), ne přímo program AcetoneISO.

The reason is that the "Updates" tab in the main window is an embedded web browser that is supposed to display some (now-defunct) original website of the project. Apparently some people got the domain and put their ads and whatnot on it.

Chtělo by to zjistit, jestli v poslední verzi mají tento bug odstraněný. Mám to tam totiž úplně stejně také.

[Nemo7]

Řekl bych, že s tím zatím moc neudělali :
http://sourceforge.net/p/acetoneiso/bugs/9/

Ve mně zase nebudí důvěru to, že na opravu dlabou. 

[Vojtěch Trefný]

Nechat si přebrat doménu a neschopnost změnit jednu url v kódu celkem jasně svědčí o tom, že projekt umřel.

[Nemo7]

Pokud by někdo chtěl zatrhnout programu acetoneiso přístup na net, tak to jde přes AppArmor a deny network :

Kód: [Vybrat]

cat /etc/apparmor.d/usr.bin.acetoneiso

# Last Modified: Wed Sep 18 11:12:31 2013
#include <tunables/global>

/usr/bin/acetoneiso {
  #include <abstractions/base>
  #include <abstractions/nameservice>


  capability chown,
  capability setuid,
  capability sys_admin,

  / ixrwmk,
  /** ixrwmk,
  /bin/mount rux,
  /bin/fusermount rux,
  /usr/bin/acetoneiso ruxm,
  /usr/bin/fuseiso rux,
 
  deny network,
}
Mezi námi, ta má pravidla jsou naprosto hrozná a apparmor u toho protestuje. Povolil jsem úplně všechno a zatrhl acetoneiso jenom net, abych to vůbec mohl vyzkoušet. Po nahrání souboru ještě dát :

Kód: [Vybrat]

sudo /etc/init.d/apparmor restart

Edit : Po tomto zásahu má acetoneiso záložku aktualizace prázdnou.

[beer]

Nebylo by jednodušší zjistit uvedenou url a doménu prostě nastavit v /etc/hosts na 127.0.0.1?

[Nemo7]

Nebylo by jednodušší zjistit uvedenou url a doménu prostě nastavit v /etc/hosts na 127.0.0.1?

Taky by to šlo, dobrý nápad. Ale zároveň jsem chtěl pro sebe najít postup, jak vůbec linux aplikaci zatrhnout veškerý přístup na net, téma mě zaujalo.

[beer]

Já se asi vydám touto cestou. Zablokuji nejprve w.internet-win.com, to mi pomůže na ten iframovaný javascript alert, a pak ještě musím najít tu doménu, ke které přistupuje přímo AcetoneISO.
Odstřihnout aplikaci od sítě je určitě dobrý nápad, ale raději než abych to udělal nějak špatně, tak se raději vydám tou jednodušší cestou. A třeba to nepřesměruji na 127.0.0.1, ale třeba na google a budu tam mít integrovaný google vyhledávač .

[Nemo7]

Já se asi vydám touto cestou. Zablokuji nejprve w.internet-win.com, to mi pomůže na ten iframovaný javascript alert, a pak ještě musím najít tu doménu, ke které přistupuje přímo AcetoneISO.
Odstřihnout aplikaci od sítě je určitě dobrý nápad, ale raději než abych to udělal nějak špatně, tak se raději vydám tou jednodušší cestou. A třeba to nepřesměruji na 127.0.0.1, ale třeba na google a budu tam mít integrovaný google vyhledávač .

Myslím, že se tím AppArmor nedá nic pokazit. Aplikace nemůže získat větší práva než normálně má. Jenom jsem musel přidat ještě jeden řádek(/ ixrwmk,), nechtělo to listovat root. Je to opravené i v předchozím postu.

AppArmor provides an additional permission check to DAC. DAC is always checked in addition to the AppArmor permission checks. As such, AppArmor cannot override DAC to provide more access than what would be normally allowed.
http://wiki.apparmor.net/index.php/QuickProfileLanguage

[beer]

OK, díky za vysvětlení. Ono se to může hodit se s tím Apparmorem naučit.