本文講的是<b>iOS10.3中Safari scareware漏洞已被徹底修複</b>,
3月27日,蘋果釋出了iOS10.3正式版本,在這個版本中,蘋果對作業系統中的許多漏洞進行了修複,這其中就包括 Safari 中的一個漏洞。Safari 的這個漏洞是Lookout公司發現的,Lookout是一家緻力于為智能手機提供安全服務的創業公司,他們推出的iOS版用戶端《Lookout》大家應該不陌生。
根據Lookout的安全人員的研究,在舊版中,攻擊者會利用Safari 中的JavaScript來無限循環顯示彈窗,然後執行scareware攻擊。Scareware,假防毒軟體,又叫假冒安全軟體,意指僞裝成防毒軟體的惡意軟體,其工作原理是:Scareware會通過誘騙使用者,提醒他們計算機感染了病毒,進而誘使使用者下載下傳惡意軟體。這個攻擊方式很具有欺騙性,它會通過貌似合法的Windows(彈出)視窗這種慣用伎倆(也是很容易讓使用者上當的手段),以極其有欺騙性的話告訴使用者“你的系統存在漏洞和風險”等。
Lookout 的安全人員發現攻擊者會在 Safari 中無限循環顯示彈窗,直到使用者點進攻擊者制定的網站,然後,該網站會僞裝成執法網站,并“善意”提醒使用者存在違法行為,隻有在傳遞罰款後,才能使用 Safari 的所有功能,攻擊者通常會讓使用者以 iTunes 禮品卡的形式來支付,另外攻擊者還會顯示出一些威脅資訊,恐吓使用者付錢。
在 iOS 10.3 釋出之前,使用者可以通過清除浏覽曆史和緩存的方式來解決這個問題,如今 iOS 10.3 釋出了,這個漏洞被封堵,使用者隻要安裝更新即可。
Safari scareware漏洞被發現的過程
這個漏洞最初是由運作iOS 10.2版本的一位使用者發現并報告給Lookout的,使用者報告說,他被引導前往 pay-police[.]com 的木馬網站,在進入網站之後 Safari 就完全不受控制了,一直跳出彈窗,使用者提供了一個螢幕截圖,如下圖所示,顯示了來自pay-police[.]com的勒索軟體消息,其中包含來自Safari的“無法打開頁面”對話框,可是當使用者每次點選“确定”後,彈窗會無限循環提示他點選“确定”,攻擊者通過讓Safari進入無限循環的狀态,來達到阻止他使用Safari的目的,讓他誤以為真的是自己的浏覽器出了問題。
我們可以在使用者報告中看到“你的裝置已鎖定”、“你必須使用iTunes禮品卡支付100磅的罰款”這樣的消息。
Safari中的彈出視窗被濫用
在 iOS 10.3 釋出之前,攻擊者通過濫用Safari中彈出視窗的方式,将使用者的Safari鎖定,除非他們支付費用或清除浏覽曆史和緩存。Safari scareware攻擊包含在Safari的應用程式沙箱中,Safari scareware沒有使用具有攻擊性的代碼,這與間諜軟體套裝Pegasus這樣的進階攻擊方式完全不同,Pegasus是一套高度定制化和自動化的間諜軟體,其内置三叉戟(3個iOS零日漏洞組合),可以有效刺破iOS的安全機制,抵達核心,完全控制手機,然後竊取其中資料。
攻擊者會先注冊域名,然後用他們所擁有的域名對使用者發起攻擊,例如pay-police[.]com顯然是攻擊者為了欺騙使用者而命名的,目的是恐吓使用者,經過調查,攻擊者主要針對那些會在網絡上檢視色情内容、下載下傳盜版歌曲等内容的使用者。攻擊者正是利用了這部分使用者做賊心虛的特點,來進行勒索。
在 iOS 10.3 釋出之前,基于iOS的代碼攻擊似乎是非常常見的,例如iOS 8。無限循環的彈窗可以有效地鎖定浏覽器,進而阻止使用者使用Safari。 而在iOS 10.3中,即使這些彈出視窗出現也不會讓整個浏覽器崩潰,因為在iOS 10.3中,一個浏覽器的視窗,對應一個運作标簽,這樣如果一個頁籤運作錯誤,使用者就可以将其關閉或打開新的視窗。
Safari scareware的解決方案
其實在iOS 10.3修複這個漏洞之前,使用者其實完全沒有必要向攻擊者支付任何費用,就可以重新獲得通路權限。 Lookout确定的最佳方法便是清除Safari緩存以重新獲得對浏覽器的控制。
在iOS上清除浏覽器曆史記錄的過程:設定> Safari>清除曆史記錄和網站資料。不過還是,強烈鼓勵大家更新到iOS 10.3。
Safari scareware攻擊過程還原
根據調查,攻擊者使用的這些JavaScript代碼似乎都是定制的:
這種攻擊最開始出現在一個俄羅斯網站上。 JavaScript包括了一些專門設定了一些UserAgent字元串來比對iOS 10.3以前的代碼。
攻擊代碼會建立一個彈出視窗,無限循環,直到受害者付錢,攻擊者會讓使用者通過短信将iTunes禮品卡代碼發送到詐騙網站上顯示的電話号碼。而在iOS 10.3中,這個彈出視窗在彈出時會顯示為一個錯誤資訊,但由于代碼中的無限循環特性,Safari上還是會不斷顯示這個錯誤的對話框消息,這是由于 JavaScript代碼被混淆,LooKOut的研究人員對這些代碼進行了模糊處理,以确定其意圖。
研究人員通過對pay-police[.]com域中獲得的JavaScript進行分析後發現,JavaScript使用了十六進制數組對代碼行為進行了輕微的模糊處理,對 iOS 10.3的彈出式攻擊顯示為DOS下的網絡浏覽器(DOS下的網絡浏覽器可以分為圖形浏覽器和文本浏覽器兩大類)。
在執行混淆代碼之前,此頁面上的代碼還會運作以下腳本:
參與這一攻擊活動的組織,很明顯已經購買了大量的網域,試圖吸引那些在網際網路上進行色情和見不得人活動的使用者。
我們發現提供惡意JavaScript的其他一些URL包括:
每個站點将根據國家代碼辨別符提供不同的消息,這些網站是用來定位來自世界不同地區的使用者的。每個消息都有一個單獨的電子郵件位址,用于聯系目标受害者。
以下是每個有效載荷的網絡釣魚域和電子郵件位址:
Lookout的研究人員會繼續監控這些域和電子郵件位址的活動,我們也會繼續進行追蹤報道。
原文釋出時間為:2017年3月30日
本文作者:xiaohui
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/technology/4040.html" target="_blank">原文連結</a>