iOS 10.3 исправляет уязвимость безопасности, позволявшую хакерам захватывать контроль над Safari и требовать выкуп

Chance Miller | Понедельник, 27 марта, 2017, 04:23.

Avatar for Chance Miller
 | 27 марта 2017 г. — 20:09 PT

Apple выпустила iOS 10.3 ранее сегодня, включив в нее множество новых функций. Однако, как обычно, есть и ряд изменений «под капотом». Arstechnica отмечает, что iOS 10.3 исправляет ошибку в Safari, которая позволяла мошенникам обманывать пользователей, заставляя их платить.

В отчете объясняется, что уязвимость позволяла мошенникам, распространяющим программы-вымогатели, отображать всплывающие окна в бесконечном цикле. Пользователь попадал на сайт злоумышленника, который выдавал себя за правоохранительный орган, информируя о необходимости уплатить штраф за какое-либо незаконное действие. В большинстве случаев, по данным Arstechnica, программы-вымогатели были нацелены на пользователей, просматривающих порнографию или пытающихся незаконно скачать музыку или другой контент.

Исследователи из Lookout описывают, как хакерам удавалось захватывать пользователей и заставлять их платить выкуп. По сути, хакеры блокировали пользователям доступ к любым функциям Safari до тех пор, пока выкуп не был уплачен.

Мошенники злоупотребляли обработкой всплывающих диалоговых окон в Mobile Safari таким образом, что это блокировало жертву от использования браузера. Атака блокировала использование браузера Safari на iOS до тех пор, пока жертва не заплатит злоумышленнику деньги в виде подарочной карты iTunes. Во время блокировки злоумышленники отображали угрожающие сообщения, пытаясь напугать и принудить жертв к оплате.

Уязвимость была впервые обнаружена, когда пользователь перешел на сайт pay-police dot com и таким образом потерял контроль над Safari. На скриншоте выше показано, как пользователь попал на сайт и столкнулся с бесконечным циклом всплывающих окон.

Пользователи могли решить проблему, очистив историю просмотров и кэш, но с выходом iOS 10.3 уязвимость была полностью исправлена, и пользователи больше не должны попадать в бесконечный цикл всплывающих окон JavaScript.

Мошенники злоупотребляли обработкой всплывающих окон в Mobile Safari таким образом, что человек «застревал» и не мог использовать Safari, если только он не платил — или знал, что можно просто очистить кэш Safari.

Подробное объяснение проблемы можно прочитать в блоге Lookout.