Archive for January, 2009

La face cachée de CMC City Booster

Friday, January 9th, 2009

On va encore m’accuser d’être un mauvais garçon et de m’acharner toujours sur le même sujet, mais je ne suis plus à ça près…

On m’avait informé il y a plus d’un an que CMC City Booster avait, dans sa liste de proxies livrée par défaut, un proxy qui permettait à ses auteurs de tracer l’activité du logiciel, et de prendre des actions spécifiques envers les utilisateurs qui en feraient un usage non désiré. J’avais contacté Hitsugaya à ce sujet, mais je n’avais pas obtenu de réponse sur ce point précis… Apparemment, le proxy espion avait disparu…

Suite au développement de la version 1.8 de CMC City Booster, j’ai voulu vérifier ce qu’il en était. Et j’ai eu quelques surprises, mais cette fois-ci dans le code même de l’application ! Bien entendu, LG et Hitsu ont pris soin d’obfuscer le code source pour le rendre difficilement exploitable, mais un code source reste un code source, même si les noms de variables sont modifiées…

Tout d’abord un point étrange, CMC teste la version actuelle avec la version que renvoie l’URL http://82.241.93.25:8080/WS/getVersionULM.php. Grosso-modo, lorsque la prochaine version sera disponible, les utilisateurs seront obligés de mettre à jour leur version, car la courante sera rendue inutilisable…

Beaucoup plus grave, le logiciel attaque aussi l’URL http://82.241.93.25:8080/WS/ULM.php, qui renvoie ceci :

http://createmycity.myminicity.com/ http://povtown.miniville.fr/

Bon pas besoin de vous faire un dessin, ce sont des villes qui seront visitées dans votre dos, afin de faire grimper leurs stats… Et ça continue. Chaque fois qu’un bon proxy est trouvé, il est publié sur l’URL de type http://82.241.93.25:8080/WS/postProxULM.php?key=xxx&p=10.10.10.10&ip=10.10.10.10 ! Ceci leur permet de se constituer automatiquement une liste de bon proxies…

Et si vous vous demander ce qu’est le site 82.241.93.25, il s’agit en fait de http://www.lightning-generator.org/, un site administré par notre bon vieux LG666. Et on retrouve le même site dans la liste des proxies :

82.241.93.25:80

En language courant, on appelle ça un troyan je crois ! Je ne répèterai jamais assez que la disponibilité du code source est essentielle afin de s’assurer de l’honnêteté des personnes qui le produisent… Si vous souhaitez utiliser CMC City Booster, c’est votre choix. Mais vous voilà au moins informés ;)

Posted in URLBooster | 10 Comments »