你的Safari瀏覽器被「鎖」了嗎？千萬別付贖金，升級iOS 10.3即可

前兩天蘋果發布了最新的iOS 10.3更新，這次更新修復了不少安全問題，其中包括對移動端Safari對JavaScript彈出窗口的處理方式的改變。

前不久，Lookout發現攻擊者正在利用這種處理方式對蘋果用戶實施勒索，其目標主要是那些在網上找色情內容，和想要非法下載盜版音樂和其他敏感信息的人。

你中招了嗎？

「漏洞」說明

在本次攻擊中，詐騙分子濫用了移動端Safari的彈窗處理方式，通過反覆彈窗，讓用戶無法使用Safari瀏覽器，除非該用戶以iTunes禮品卡的形式向詐騙分子支付贖金。

詐騙分子通過這種方式成功「鎖定」一個Safari瀏覽器之後，還會給用戶提示各種威脅、恐嚇的勒索信息。

不過這種「勒索」程序其實很容易「解鎖」，只需要在iOS設置中將Safari瀏覽器的緩存刪除即可。

詐騙者其實根本沒有向一般的勒索程序那樣加密數據，他們的目的就是恐嚇受害者支付贖金。

Lookout上個月首次發現這種攻擊，他們將發現的相關細節上報給了蘋果，包括涉及詐騙活動的多個網站和攻擊原理，並強調了經常更新手機服務的重要性。

首次發現

就在今年2月，一位使用iOS 10.2的用戶向Lookout反應，他在使用Safari瀏覽器訪問某家網站之後，Safari就徹底失控了，並發給Lookout兩張截圖。

截圖有兩部分內容，最直觀的就是一條來自pay-police.com網站的提示信息「Cannot Open Page」。

據受害者反應，他每次點「OK」之後還是提示「Cannot Open Page」，顯然網址日誌陷入了無限循環，結果就是用戶無法正常使用瀏覽器。還有一部分就是背景部分的勒索信息。

「你的設備已經被鎖…」以及「…快支付價值100磅的iTunes禮品卡」，威脅用戶支付贖金

移動端Safari彈窗的弊端

如前文所述，攻擊者就是利用Safari針對彈窗的處理方式來欺騙受害者，聲稱「你的Safari已經被我鎖了」，並向受害者索要贖金。

這種攻擊方式並沒有突破Safari瀏覽器的應用沙盒，也沒有利用什麼exploit代碼——這和那些複雜攻擊方式完全不是一個層級。

攻擊者註冊類似police-pay這樣的域名，其實是為那些整天找「特定類型內容」的用戶準備的，這裡的特定類型可能是色情內容，當然也有可能是盜版音樂網站。

為了更高效地拿到贖金，他們恐嚇受害者以明確的物品來充當贖金，就比如等值iTunes禮品卡。

經分析，詐騙分子的攻擊代碼似乎針對較老的iOS 8版本開發的，蘋果直到iOS 10.3才修復了這個瀏覽器缺陷。

其實「鎖」住瀏覽器的就是一串觸發彈窗的無限循環代碼。

由於iOS 10.3瀏覽器採用每個標籤獨立運行的方式，因此在iOS 10.3中單個標籤彈窗不會鎖住整個瀏覽器，用戶可關閉該標籤或移動到另一標籤解決被無限彈窗的問題。

快速修復

在獲取iOS 10.3更新之前，受害者還可以通過以下方法解「鎖」，設置>Safari>清除歷史和網頁數據；再次啟動Safari的時候，勒索消息就消失了。

調查勒索行為

從下面這條指令可以看出，此次攻擊利用JavaScript代碼是對早期攻擊的再利用。

「saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29」

一家俄羅斯網站上曾介紹過這種攻擊，JavaScript中包含一些專門將UserAgent string匹配到老版本iOS的代碼。

「』Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4』」

攻擊代碼會創建一個彈窗，並無限循環，除非受害者支付贖金。

贖金支付可以通過將iTunes禮品卡號發給勒索網頁顯示的電話號碼完成。

後續版本的iOS系統中，彈出錯誤窗口對話框實際上是因為移動版Safari無法找到本次URL查詢，不過由於無限循環代碼，攻擊代碼還是會持續彈出錯誤日誌信息。

值得一提的是，JavaScript代碼被混淆，在分析員的還原之下，發現了它的真實目的。

比如，在pay-police[.]com域名的JavaScript代碼中，攻擊者以十六進位混淆了他的攻擊代碼。

這種攻擊在新版本的iOS中可能會導致瀏覽器DOS（拒絕服務）。

在執行混淆代碼之前該網頁代碼還會運行下面這個腳本

該組織在本次勒索行動中購買了大量域名來吸引用戶點進他們設好陷阱的網站，以收取更多贖金。

Lookout研究員還在下列URL中發現相同的惡意JavaScript代碼

hxxp://x-ios-validation[.]com/us[.]html

hxxp://x-ios-validation[.]com/ie[.]html

hxxp://x-ios-validation[.]com/gb[.]html

hxxp://x-ios-validation[.]com/au[.]html

hxxp://x-ios-validation[.]com/nz[.]html

每個網站的勒索信息都不同，且針對的對象包括全球不同地區，每個網站各關聯一個聯繫郵箱。

可以看出這是一起針對全球範圍的釣魚活動。

各payload對應的釣魚域名和郵箱地址：

U.S.: us.html networksafetydept@usa[.]com

Ireland: ie.html justicedept@irelandmail[.]com

UK: gb.html cybercrimegov@europe[.]com

Australia: au.html federaljustice@australiamail[.]com

New Zealand: nz.html cybercrimegov@post[.]com

*參考來源：

lookout

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！