MonsterDivX está robando

Publicado por Norberto Herz el
Esas son las palabras, para mi
Todo comienza con un post que me recomiendan leer en el blog de sirviejo: MonsterDivX es un virus. Si leen con atención, y bien en criollo, explica cómo el plugin o extensión que MonsterDivX nos pide instalar, reemplaza las publicidades de cualquier sitio que naveguemos por las de ellos (desviando todas las ganancias).
Yo ya desconfío de todo lo que no veo probado, y este era el caso del post (estimo que era para no entrar en mayores tecnicismos). Por lo tanto, le dejé a su redactor este mensaje:
Por favor, ya que te tomaste el laburo de leer los .js, podrías compartir en un post más técnico o por mail qué pasos seguiste para detectarlo? Ojo, no digo que no sea cierto lo que decis, pero yo no lo noté. Si es cierto, me sumaré a comunicarlo, pero ya llegamos a un punto en donde sin evidencia, primero dudo (nada personal).Te dejé mi mail en el comentario, sentite libre de escribirme si podés, o usar twitter: @nohorbee … 
Me interesó corroborar versiones sobretodo por los recientes supuestos hackeos, rediseño y censura a Cuevana, y el coincidente (bueno, con un mes de diferencia) arribo de Netflix (servicio pago que brinda servicios similares de forma "más legal").

El autor me respondió vía Twitter:

 sirviejo nohorbee ahi vi tu comentario, mira este link donde se esparcio la noticia 
Nobleza obliga, a leer cuidadosamente los scripts y verificar. La conclusión: ES CIERTO. MONSTERDIVX ESTÁ REEMPLAZANDO LOS ANUNCIOS DE TODOS LOS SITIOS QUE NAVEGAMOS (SI TENEMOS SU EXTENSIÓN INSTALADA).
Mi intención, además de sumarme a la campaña para informar al usuario, es mostrar la verificación (simple) que hice, desde un costado más técnico (solo para aquellos interesados en leer). Si crees que esta información tiene suficiente nivel de detalle, y no vas a seguir leyendo la parte técnica, me permito una última aclaración. No es necesario desinstalar la extensión (al menos desde Chrome). Con deshabilitarla, el efecto ya no ocurre. ¿Por qué lo menciono? Quizás el usuario desee seguir utilizando esta página. Puede activar la extensión al ingresar, y desactivarla al salir. Por supuesto, no lo recomiendo, y aquí los motivos:

  1. No estaríamos castigando una gran estafa.
  2. Tarde o temprano nos olvidaríamos de desactivar la extensión.
  3. Algún día, actualizan la extensión para realizar otras operaciones ilegales (loguear nuestras contraseñas mientras accedemos a nuestros Homebanking, por ejemplo) y bueno, nos lo merecemos por pseudo-complicidad.
Dudé al escribir esto, si mencionar este pequeño workaround. Pero considero que la información debe darnos libertad para tomar nuestras propias decisiones. Sean concientes al tomar las suyas.

He aquí la verificación:
La respuesta de @sirviejo, me llevó al foro donde todo inició: http://forobeta.com/off-topic/62332-atencion-monsterdivx-altera-tu-navegador-mostrar-propios-anuncios.html. Aquí se hace referencia al archivo .js que la extensión carga en TODAS las páginas que navegamos (dentro y fuera de monsterdivx): http://www.monsterdivx.com/core/hosts.js. Como notarán, el código está algo ofuscado (sin espacios ni indentación). Para facilitar la lectura, lo pasé por http://jsbeautifier.org/. Al hacerlo, noté un código bastante simple, que verifica las fuentes de ciertos iframes, y en caso de detectar que son publicidad, los reemplaza con una URL fija (que, aunque no pude verificarlo, supongo que es la URL que carga sus publicidades. Así no lo fuera, el comportamiento ya es por demás abusivo).
¿Es esto suficiente para decir que "están reemplazando las publicidades"? NO. Aún falta un último paso: Verificar que este .js, se esté cargando en otras páginas. Para verificarlo, utilizando las herramientas para desarrolladores de Chrome, analicé el "tráfico" de red (a alto nivel, claramente: solapa Network). Allí estaba cargado clarito.


La fiscalía descansa.

Por último, agradecer:
  • A Mariano, por compartir el post de sirviejo.
  • A Sirviejo, no solo por publicar, sino por tomarse el trabajo de responderme en mi rol (muy hinchapelotas) de pedir pruebas. Recomiendo que antes de creer, quienes puedan, intenten verificar la información. En este caso, era verdadera.
  • A Webayunate en ForosBeta, por compartir el código detectado.
Una última recomendación, o pedido: Divulguen esta información (verifíquenla si quieren, comenten, pregunten, no se queden con lo que yo digo, pero terminen por divulgar esta información). Y quienes puedan, difundan el trabajo de Sirviejo (al menos como forma de agradecimiento).