iOS10.3中Safari scareware漏洞已被徹底修復

3月27日，蘋果發布了iOS10.3正式版本，在這個版本中，蘋果對操作系統中的許多漏洞進行了修復，這其中就包括 Safari 中的一個漏洞。Safari 的這個漏洞是Lookout公司發現的，Lookout是一家致力於為智能手機提供安全服務的創業公司，他們推出的iOS版客戶端《Lookout》大家應該不陌生。

根據Lookout的安全人員的研究，在舊版中，攻擊者會利用Safari 中的JavaScript來無限循環顯示彈窗，然後執行scareware攻擊。Scareware，假殺毒軟體，又叫假冒安全軟體，意指偽裝成殺毒軟體的惡意軟體，其工作原理是：Scareware會通過誘騙用戶，提醒他們計算機感染了病毒，從而誘使用戶下載惡意軟體。這個攻擊方式很具有欺騙性，它會通過貌似合法的Windows（彈出）窗口這種慣用伎倆（也是很容易讓用戶上當的手段），以極其有欺騙性的話告訴用戶「你的系統存在漏洞和風險」等。

Lookout 的安全人員發現攻擊者會在 Safari 中無限循環顯示彈窗，直到用戶點進攻擊者制定的網站，然後，該網站會偽裝成執法網站，並「善意」提醒用戶存在違法行為，只有在交付罰款後，才能使用 Safari 的所有功能，攻擊者通常會讓用戶以 iTunes 禮品卡的形式來支付，另外攻擊者還會顯示出一些威脅信息，恐嚇用戶付錢。

在 iOS 10.3 發布之前，用戶可以通過清除瀏覽歷史和緩存的方式來解決這個問題，如今 iOS 10.3 發布了，這個漏洞被封堵，用戶只要安裝更新即可。

Safari scareware漏洞被發現的過程

這個漏洞最初是由運行iOS 10.2版本的一位用戶發現並報告給Lookout的，用戶報告說，他被引導前往 pay-police[.]com 的木馬網站，在進入網站之後 Safari 就完全不受控制了，一直跳出彈窗，用戶提供了一個屏幕截圖，如下圖所示，顯示了來自pay-police[.]com的勒索軟體消息，其中包含來自Safari的「無法打開頁面」對話框，可是當用戶每次點擊「確定」後，彈窗會無限循環提示他點擊「確定」，攻擊者通過讓Safari進入無限循環的狀態，來達到阻止他使用Safari的目的，讓他誤以為真的是自己的瀏覽器出了問題。

我們可以在用戶報告中看到「你的設備已鎖定」、「你必須使用iTunes禮品卡支付100磅的罰款」這樣的消息。

Safari中的彈出窗口被濫用

在 iOS 10.3 發布之前，攻擊者通過濫用Safari中彈出窗口的方式，將用戶的Safari鎖定，除非他們支付費用或清除瀏覽歷史和緩存。Safari scareware攻擊包含在Safari的應用程序沙箱中，Safari scareware沒有使用具有攻擊性的代碼，這與間諜軟體套裝Pegasus這樣的高級攻擊方式完全不同，Pegasus是一套高度定製化和自動化的間諜軟體，其內置三叉戟（3個iOS零日漏洞組合），可以有效刺破iOS的安全機制，抵達內核，完全控制手機，然後竊取其中數據。

攻擊者會先註冊域名，然後用他們所擁有的域名對用戶發起攻擊，例如pay-police[.]com顯然是攻擊者為了欺騙用戶而命名的，目的是恐嚇用戶，經過調查，攻擊者主要針對那些會在網路上查看色情內容、下載盜版歌曲等內容的用戶。攻擊者正是利用了這部分用戶做賊心虛的特點，來進行勒索。

在 iOS 10.3 發布之前，基於iOS的代碼攻擊似乎是非常常見的，例如iOS 8。無限循環的彈窗可以有效地鎖定瀏覽器，從而阻止用戶使用Safari。 而在iOS 10.3中，即使這些彈出窗口出現也不會讓整個瀏覽器崩潰，因為在iOS 10.3中，一個瀏覽器的窗口，對應一個運行標籤，這樣如果一個選項卡運行錯誤，用戶就可以將其關閉或打開新的窗口。

Safari scareware的解決方案

其實在iOS 10.3修復這個漏洞之前，用戶其實完全沒有必要向攻擊者支付任何費用，就可以重新獲得訪問許可權。 Lookout確定的最佳方法便是清除Safari緩存以重新獲得對瀏覽器的控制。

在iOS上清除瀏覽器歷史記錄的過程：設置> Safari>清除歷史記錄和網站數據。不過還是，強烈鼓勵大家升級到iOS 10.3。

Safari scareware攻擊過程還原

根據調查，攻擊者使用的這些JavaScript代碼似乎都是定製的：

saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29

這種攻擊最開始出現在一個俄羅斯網站上。 JavaScript包括了一些專門設置了一些UserAgent字元串來匹配iOS 10.3以前的代碼。

Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4

攻擊代碼會創建一個彈出窗口，無限循環，直到受害者付錢，攻擊者會讓用戶通過簡訊將iTunes禮品卡代碼發送到詐騙網站上顯示的電話號碼。而在iOS 10.3中，這個彈出窗口在彈出時會顯示為一個錯誤信息，但由於代碼中的無限循環特性，Safari上還是會不斷顯示這個錯誤的對話框消息，這是由於 JavaScript代碼被混淆，LooKOut的研究人員對這些代碼進行了模糊處理，以確定其意圖。

研究人員通過對pay-police[.]com域中獲得的JavaScript進行分析後發現，JavaScript使用了十六進位數組對代碼行為進行了輕微的模糊處理，對 iOS 10.3的彈出式攻擊顯示為DOS下的網路瀏覽器（DOS下的網路瀏覽器可以分為圖形瀏覽器和文本瀏覽器兩大類）。

在執行混淆代碼之前，此頁面上的代碼還會運行以下腳本：

參與這一攻擊活動的組織，很明顯已經購買了大量的網域，試圖吸引那些在互聯網上進行色情和見不得人活動的用戶。

我們發現提供惡意JavaScript的其他一些URL包括：

hxxp://x-ios-validation[.]com/us[.]htmlhxxp://x-ios-validation[.]com/ie[.]htmlhxxp://x-ios-validation[.]com/gb[.]htmlhxxp://x-ios-validation[.]com/au[.]htmlhxxp://x-ios-validation[.]com/nz[.]html

每個站點將根據國家代碼標識符提供不同的消息，這些網站是用來定位來自世界不同地區的用戶的。每個消息都有一個單獨的電子郵件地址，用於聯繫目標受害者。

以下是每個有效載荷的網路釣魚域和電子郵件地址：

美國：us.html networksafetydept@usa[.]com愛爾蘭：ie.html justicedept@irelandmail[.]com英國：gb.html cybercrimegov@europe[.]com澳大利亞：au.html federaljustice@australiamail[.]com紐西蘭：nz.html cybercrimegov@post[.]com

Lookout的研究人員會繼續監控這些域和電子郵件地址的活動，我們也會繼續進行追蹤報道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！