Дмитрий Бумов, эксперт компании ONsec, регулярно обнаруживает баги в самой популярной российской соцсети «ВКонтакте» и уже не раз был вознагражден за свои усилия. В этот раз исследователь выявил XSS-уязвимость, которая содержится в методе обработки эмодзи.

Как рассказал Бумов, при копировании в окно сообщения Unicode-символов, используемых для обозначения эмодзи, можно внедрить вредоносный JavaScript. После этого жертва будет репостить чужие записи, даже не ведая этого, — для отправки сообщения не нужно даже нажимать на Enter.

Используя простейшие техники социнженерии, исследователь опубликовал запись о том, что «ВКонтакте» тестирует некие «секретные анимированные смайлики» — для этого якобы нужно всего лишь скопировать символы в окно сообщения. В ходе копирования в буфере кроме символов Unicode также появлялся текст «You hacked», но его, естественно, никто не заметил. При этом, если вставить в окно сообщения сам вредоносный скрипт, сработают механизмы безопасности и исполнить код не получится. Но если добавить к вредоносному скрипту Unicode-символы, формирующие эмодзи, «ВКонтакте» без проблем обработает все разом.

Как признался сам исследователь, баг он обнаружил еще в прошлом году, но провести практические испытания времени не хватало. Его трюк с социнженерией в итоге сработал, и с этим нехитрым PoC Бумов обратился в администрацию соцсети. Надо признать, последняя отреагировала оперативно и запатчила баг, наградив Бумова символическими $100, хотя предпочитает не выплачивать премии за применение социнженерии. В этот раз вектор атаки оказался весьма нетривиальным, а сам баг — легкоэксплуатируемым.

Категории: Уязвимости