標籤:

iOS10.3中Safari scareware漏洞已被徹底修復

3月27日,蘋果發布了iOS10.3正式版本,在這個版本中,蘋果對操作系統中的許多漏洞進行了修復,這其中就包括 Safari 中的一個漏洞。Safari 的這個漏洞是Lookout公司發現的,Lookout是一家致力於為智能手機提供安全服務的創業公司,他們推出的iOS版客戶端《Lookout》大家應該不陌生。

根據Lookout的安全人員的研究,在舊版中,攻擊者會利用Safari 中的JavaScript來無限循環顯示彈窗,然後執行scareware攻擊。Scareware,假殺毒軟體,又叫假冒安全軟體,意指偽裝成殺毒軟體的惡意軟體,其工作原理是:Scareware會通過誘騙用戶,提醒他們計算機感染了病毒,從而誘使用戶下載惡意軟體。這個攻擊方式很具有欺騙性,它會通過貌似合法的Windows(彈出)窗口這種慣用伎倆(也是很容易讓用戶上當的手段),以極其有欺騙性的話告訴用戶「你的系統存在漏洞和風險」等。

Lookout 的安全人員發現攻擊者會在 Safari 中無限循環顯示彈窗,直到用戶點進攻擊者制定的網站,然後,該網站會偽裝成執法網站,並「善意」提醒用戶存在違法行為,只有在交付罰款後,才能使用 Safari 的所有功能,攻擊者通常會讓用戶以 iTunes 禮品卡的形式來支付,另外攻擊者還會顯示出一些威脅信息,恐嚇用戶付錢。

在 iOS 10.3 發布之前,用戶可以通過清除瀏覽歷史和緩存的方式來解決這個問題,如今 iOS 10.3 發布了,這個漏洞被封堵,用戶只要安裝更新即可。

Safari scareware漏洞被發現的過程

這個漏洞最初是由運行iOS 10.2版本的一位用戶發現並報告給Lookout的,用戶報告說,他被引導前往 pay-police[.]com 的木馬網站,在進入網站之後 Safari 就完全不受控制了,一直跳出彈窗,用戶提供了一個屏幕截圖,如下圖所示,顯示了來自pay-police[.]com的勒索軟體消息,其中包含來自Safari的「無法打開頁面」對話框,可是當用戶每次點擊「確定」後,彈窗會無限循環提示他點擊「確定」,攻擊者通過讓Safari進入無限循環的狀態,來達到阻止他使用Safari的目的,讓他誤以為真的是自己的瀏覽器出了問題。

我們可以在用戶報告中看到「你的設備已鎖定」、「你必須使用iTunes禮品卡支付100磅的罰款」這樣的消息。

Safari中的彈出窗口被濫用

在 iOS 10.3 發布之前,攻擊者通過濫用Safari中彈出窗口的方式,將用戶的Safari鎖定,除非他們支付費用或清除瀏覽歷史和緩存。Safari scareware攻擊包含在Safari的應用程序沙箱中,Safari scareware沒有使用具有攻擊性的代碼,這與間諜軟體套裝Pegasus這樣的高級攻擊方式完全不同,Pegasus是一套高度定製化和自動化的間諜軟體,其內置三叉戟(3個iOS零日漏洞組合),可以有效刺破iOS的安全機制,抵達內核,完全控制手機,然後竊取其中數據。

攻擊者會先註冊域名,然後用他們所擁有的域名對用戶發起攻擊,例如pay-police[.]com顯然是攻擊者為了欺騙用戶而命名的,目的是恐嚇用戶,經過調查,攻擊者主要針對那些會在網路上查看色情內容、下載盜版歌曲等內容的用戶。攻擊者正是利用了這部分用戶做賊心虛的特點,來進行勒索。

在 iOS 10.3 發布之前,基於iOS的代碼攻擊似乎是非常常見的,例如iOS 8。無限循環的彈窗可以有效地鎖定瀏覽器,從而阻止用戶使用Safari。 而在iOS 10.3中,即使這些彈出窗口出現也不會讓整個瀏覽器崩潰,因為在iOS 10.3中,一個瀏覽器的窗口,對應一個運行標籤,這樣如果一個選項卡運行錯誤,用戶就可以將其關閉或打開新的窗口。

Safari scareware的解決方案

其實在iOS 10.3修復這個漏洞之前,用戶其實完全沒有必要向攻擊者支付任何費用,就可以重新獲得訪問許可權。 Lookout確定的最佳方法便是清除Safari緩存以重新獲得對瀏覽器的控制。

在iOS上清除瀏覽器歷史記錄的過程:設置> Safari>清除歷史記錄和網站數據。不過還是,強烈鼓勵大家升級到iOS 10.3。

Safari scareware攻擊過程還原

根據調查,攻擊者使用的這些JavaScript代碼似乎都是定製的:

saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29n

這種攻擊最開始出現在一個俄羅斯網站上。 JavaScript包括了一些專門設置了一些UserAgent字元串來匹配iOS 10.3以前的代碼。

Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4n

攻擊代碼會創建一個彈出窗口,無限循環,直到受害者付錢,攻擊者會讓用戶通過簡訊將iTunes禮品卡代碼發送到詐騙網站上顯示的電話號碼。而在iOS 10.3中,這個彈出窗口在彈出時會顯示為一個錯誤信息,但由於代碼中的無限循環特性,Safari上還是會不斷顯示這個錯誤的對話框消息,這是由於 JavaScript代碼被混淆,LooKOut的研究人員對這些代碼進行了模糊處理,以確定其意圖。

研究人員通過對pay-police[.]com域中獲得的JavaScript進行分析後發現,JavaScript使用了十六進位數組對代碼行為進行了輕微的模糊處理,對 iOS 10.3的彈出式攻擊顯示為DOS下的網路瀏覽器(DOS下的網路瀏覽器可以分為圖形瀏覽器和文本瀏覽器兩大類)。

在執行混淆代碼之前,此頁面上的代碼還會運行以下腳本:

<script type=」text/javascript」>navigator.__defineGetter__(『userAgent』, function () { return 『Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4』; });</script>n

參與這一攻擊活動的組織,很明顯已經購買了大量的網域,試圖吸引那些在互聯網上進行色情和見不得人活動的用戶。

我們發現提供惡意JavaScript的其他一些URL包括:

hxxp://x-ios-validation[.]com/us[.]html

hxxp://x-ios-validation[.]com/ie[.]html

hxxp://x-ios-validation[.]com/gb[.]html

hxxp://x-ios-validation[.]com/au[.]html

hxxp://x-ios-validation[.]com/nz[.]html

每個站點將根據國家代碼標識符提供不同的消息,這些網站是用來定位來自世界不同地區的用戶的。每個消息都有一個單獨的電子郵件地址,用於聯繫目標受害者。

以下是每個有效載荷的網路釣魚域和電子郵件地址:

美國:us.html networksafetydept@usa[.]com

愛爾蘭:ie.html justicedept@irelandmail[.]com

英國:gb.html cybercrimegov@europe[.]com

澳大利亞:au.html federaljustice@australiamail[.]com

紐西蘭:nz.html cybercrimegov@post[.]com

Lookout的研究人員會繼續監控這些域和電子郵件地址的活動,我們也會繼續進行追蹤報道。

本文參考來源於blog.lookout,如若轉載,請註明來源於嘶吼: iOS10.3中Safari scareware漏洞已被徹底修復 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

McAfee發現一個勒索軟體家族 主攻安卓設備
Android用戶一定要看!超過100萬的用戶已被感染
核心漏洞讓攻擊者可以劫持基站
多款安卓智能手機被預安裝惡意軟體,包括三星、小米、聯想

TAG:iOS | 移动安全 |