iOS10.3中Safari scareware漏洞已被彻底修复
本文讲的是iOS10.3中Safari scareware漏洞已被彻底修复,
3月27日,苹果发布了iOS10.3正式版本,在这个版本中,苹果对操作系统中的许多漏洞进行了修复,这其中就包括 Safari 中的一个漏洞。Safari 的这个漏洞是Lookout公司发现的,Lookout是一家致力于为智能手机提供安全服务的创业公司,他们推出的iOS版客户端《Lookout》大家应该不陌生。
根据Lookout的安全人员的研究,在旧版中,攻击者会利用Safari 中的JavaScript来无限循环显示弹窗,然后执行scareware攻击。Scareware,假杀毒软件,又叫假冒安全软件,意指伪装成杀毒软件的恶意软件,其工作原理是:Scareware会通过诱骗用户,提醒他们计算机感染了病毒,从而诱使用户下载恶意软件。这个攻击方式很具有欺骗性,它会通过貌似合法的Windows(弹出)窗口这种惯用伎俩(也是很容易让用户上当的手段),以极其有欺骗性的话告诉用户“你的系统存在漏洞和风险”等。
Lookout 的安全人员发现攻击者会在 Safari 中无限循环显示弹窗,直到用户点进攻击者制定的网站,然后,该网站会伪装成执法网站,并“善意”提醒用户存在违法行为,只有在交付罚款后,才能使用 Safari 的所有功能,攻击者通常会让用户以 iTunes 礼品卡的形式来支付,另外攻击者还会显示出一些威胁信息,恐吓用户付钱。
在 iOS 10.3 发布之前,用户可以通过清除浏览历史和缓存的方式来解决这个问题,如今 iOS 10.3 发布了,这个漏洞被封堵,用户只要安装更新即可。
Safari scareware漏洞被发现的过程
这个漏洞最初是由运行iOS 10.2版本的一位用户发现并报告给Lookout的,用户报告说,他被引导前往 pay-police[.]com 的木马网站,在进入网站之后 Safari 就完全不受控制了,一直跳出弹窗,用户提供了一个屏幕截图,如下图所示,显示了来自pay-police[.]com的勒索软件消息,其中包含来自Safari的“无法打开页面”对话框,可是当用户每次点击“确定”后,弹窗会无限循环提示他点击“确定”,攻击者通过让Safari进入无限循环的状态,来达到阻止他使用Safari的目的,让他误以为真的是自己的浏览器出了问题。
我们可以在用户报告中看到“你的设备已锁定”、“你必须使用iTunes礼品卡支付100磅的罚款”这样的消息。
Safari中的弹出窗口被滥用
在 iOS 10.3 发布之前,攻击者通过滥用Safari中弹出窗口的方式,将用户的Safari锁定,除非他们支付费用或清除浏览历史和缓存。Safari scareware攻击包含在Safari的应用程序沙箱中,Safari scareware没有使用具有攻击性的代码,这与间谍软件套装Pegasus这样的高级攻击方式完全不同,Pegasus是一套高度定制化和自动化的间谍软件,其内置三叉戟(3个iOS零日漏洞组合),可以有效刺破iOS的安全机制,抵达内核,完全控制手机,然后窃取其中数据。
攻击者会先注册域名,然后用他们所拥有的域名对用户发起攻击,例如pay-police[.]com显然是攻击者为了欺骗用户而命名的,目的是恐吓用户,经过调查,攻击者主要针对那些会在网络上查看色情内容、下载盗版歌曲等内容的用户。攻击者正是利用了这部分用户做贼心虚的特点,来进行勒索。
在 iOS 10.3 发布之前,基于iOS的代码攻击似乎是非常常见的,例如iOS 8。无限循环的弹窗可以有效地锁定浏览器,从而阻止用户使用Safari。 而在iOS 10.3中,即使这些弹出窗口出现也不会让整个浏览器崩溃,因为在iOS 10.3中,一个浏览器的窗口,对应一个运行标签,这样如果一个选项卡运行错误,用户就可以将其关闭或打开新的窗口。
Safari scareware的解决方案
其实在iOS 10.3修复这个漏洞之前,用户其实完全没有必要向攻击者支付任何费用,就可以重新获得访问权限。 Lookout确定的最佳方法便是清除Safari缓存以重新获得对浏览器的控制。
在iOS上清除浏览器历史记录的过程:设置 Safari 清除历史记录和网站数据。不过还是,强烈鼓励大家升级到iOS 10.3。
Safari scareware攻击过程还原
根据调查,攻击者使用的这些JavaScript代码似乎都是定制的:
saved from url=(0070)http://apple-ios-front.gq/29300000/index.php?DATARE=Vylet%3A30_15%3A29
这种攻击最开始出现在一个俄罗斯网站上。 JavaScript包括了一些专门设置了一些UserAgent字符串来匹配iOS 10.3以前的代码。
Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4
攻击代码会创建一个弹出窗口,无限循环,直到受害者付钱,攻击者会让用户通过短信将iTunes礼品卡代码发送到诈骗网站上显示的电话号码。而在iOS 10.3中,这个弹出窗口在弹出时会显示为一个错误信息,但由于代码中的无限循环特性,Safari上还是会不断显示这个错误的对话框消息,这是由于 JavaScript代码被混淆,LooKOut的研究人员对这些代码进行了模糊处理,以确定其意图。
研究人员通过对pay-police[.]com域中获得的JavaScript进行分析后发现,JavaScript使用了十六进制数组对代码行为进行了轻微的模糊处理,对 iOS 10.3的弹出式攻击显示为DOS下的网络浏览器(DOS下的网络浏览器可以分为图形浏览器和文本浏览器两大类)。
在执行混淆代码之前,此页面上的代码还会运行以下脚本:
script type=”text/javascript” navigator.__defineGetter__(‘userAgent’, function () { return ‘Mozilla/5.0 (iPhone; CPU iPhone OS 8_0_2 like Mac OS X) AppleWebKit/600.1.4 (KHTML, like Gecko) Version/8.0 Mobile/12A366 Safari/600.1.4’; }); /script
参与这一攻击活动的组织,很明显已经购买了大量的网域,试图吸引那些在互联网上进行色情和见不得人活动的用户。
我们发现提供恶意JavaScript的其他一些URL包括:
hxxp://x-ios-validation[.]com/us[.]html hxxp://x-ios-validation[.]com/ie[.]html hxxp://x-ios-validation[.]com/gb[.]html hxxp://x-ios-validation[.]com/au[.]html hxxp://x-ios-validation[.]com/nz[.]html
每个站点将根据国家代码标识符提供不同的消息,这些网站是用来定位来自世界不同地区的用户的。每个消息都有一个单独的电子邮件地址,用于联系目标受害者。
以下是每个有效载荷的网络钓鱼域和电子邮件地址:
美国:us.html networksafetydept@usa[.]com 爱尔兰:ie.html justicedept@irelandmail[.]com 英国:gb.html cybercrimegov@europe[.]com 澳大利亚:au.html federaljustice@australiamail[.]com 新西兰:nz.html cybercrimegov@post[.]com
Lookout的研究人员会继续监控这些域和电子邮件地址的活动,我们也会继续进行追踪报道。
原文发布时间为:2017年3月30日 本文作者:xiaohui 本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。 原文链接巨额奖金在向你招手!这款iOS应用悬赏10万美金找漏洞 本文讲的是巨额奖金在向你招手!这款iOS应用悬赏10万美金找漏洞,如果你能够在iOS 密码管理应用 1Password中找到漏洞——一般为0day漏洞,其开发商 Agilebits将会支付你10 万美元的赏金。
苹果升级日!iOS、macOS双双发布更新,修复了数十个漏洞 本文讲的是苹果升级日!iOS、macOS双双发布更新,修复了数十个漏洞,曾几何时,苹果系统被视为更加安全可靠的存在,因为相较于微软的Windows系统,那时的苹果设备市场份额微不足道,黑客并无兴趣专门开发针对苹果电脑的攻击工具。
关于iOS系统“Trident”漏洞情况的通报 本文讲的是关于iOS系统“Trident”漏洞情况的通报,近日,互联网上披露了有关iOS操作系统存在“Trident”漏洞(CNNVD-201608-460、CNNVD-201608-461、CNNVD-201608-462)的情况。
AceDeceiver成为首个可利用苹果 DRM设计漏洞感染iOS设备的木马程序 本文讲的是 AceDeceiver成为首个可利用苹果 DRM设计漏洞感染iOS设备的木马程序,近日,我们发现了一个全新系列的iOS恶意软件,能够成功感染非越狱设备,我们将其命名为“AceDeceiver”。
相关文章
- 修复SSL/TLS协议信息泄露漏洞
- Struts2再爆远程命令执行漏洞![W3bSafe]Struts2-048 Poc Shell及防御修复方案抢先看!
- PHP7曝出三个高危0-day漏洞,还有一个仍未修复
- Apache漏洞修复
- 引爆全球的 Log4j2 核弹级漏洞,JNDI 到底是个什么鬼?
- 突发!Apache Log4j2 报核弹级漏洞。。赶紧修复!!
- 发现一款牛逼的 IDEA 插件:检测代码漏洞,一键修复!
- struts2之高危远程代码执行漏洞,可造成服务器被入侵,下载最新版本进行修复
- 腾讯员工被曝偷看创业公司工作文档;iOS 15.4.1修复耗电过快问题;Spring承认RCE大漏洞|极客头条
- iOS 9再出漏洞 苹果安全性受质疑
- Cisco AsyncOS DoS漏洞 思科邮件安全产品ESA发布软件升级 修复9个漏洞
- 绿盟科技发布预警通告 OpenSSH漏洞CVE-2016-8858将引发远程拒绝服务攻击
- Android Forums安卓论坛发生数据泄露 论坛称只泄露了2.5%的用户信息 并已经修复了利用漏洞
- 新版师傅银行木马出来了 这次主要是更新了漏洞利用方式CVE-2016-0167
- OpenSSL CVE-2016-0800和CVE-2016-0703漏洞修复细节拾趣
- Github Enterprise版本SAML服务两个身份认证漏洞
- 苹果曝硬件级不可修复漏洞;IEEE Spectrum 2020年度编程语言排行榜出炉
- 实现云安全如此简单扫描远程漏洞就搞定
- 51.网络安全渗透测试—[文件上传篇1]—[文件上传过程详解/造成漏洞原因/文件上传绕过姿势]
- 2.文件包含漏洞之dvwa配置php.ini——小白笔记
- 1.File Inclusion含义——小白笔记——文件包含漏洞
- 我的HackerOne漏洞赏金平台漏洞挖掘流程
- 文件上传之Apache解析漏洞和Mime检测绕过
- “破壳”(Shellshock)漏洞修复