Appleは本日、iOS 10.3をリリースしました。多数の新機能が含まれています。しかし、いつものように、内部的な変更もいくつか含まれています。Arstechnicaによると、iOS 10.3では、詐欺師がユーザーを騙して料金を支払わせるSafariのバグが修正されています。
報告書によると、この脆弱性により、ランサムウェア詐欺師はポップアップウィンドウを無限に表示させることが可能になった。ユーザーは、法執行機関のサイトを装った攻撃者のウェブサイトに誘導され、何らかの違法行為に対して罰金を支払うよう通知される。Arstechnicaによると、ランサムウェアはほとんどの場合、ポルノを閲覧したり、音楽などのコンテンツを違法にダウンロードしようとしたりするユーザーを標的にしていたという。
Lookoutの研究者たちは、ハッカーがどのようにしてユーザーを捕らえ、身代金を支払わせたかを説明しています。具体的には、ハッカーは身代金が支払われるまでユーザーがSafariのあらゆる機能にアクセスできないようにしていました。
詐欺師たちは、モバイル版Safariのポップアップダイアログの処理を悪用し、被害者がブラウザを使用できないように仕向けました。この攻撃は、被害者がiTunesギフトカードの形で攻撃者に金銭を支払うまで、iOS版Safariブラウザの使用をブロックします。ロックアウトの間、攻撃者は脅迫メッセージを表示し、被害者を脅迫して支払いを強要しようとしました。
この脆弱性が初めて発見されたのは、ユーザーがpay-police.comというウェブサイトに誘導され、Safariを操作できなくなった時のことです。上のスクリーンショットは、ユーザーがどのようにしてこのサイトに辿り着き、ポップアップが繰り返し表示される様子を示しています。
ユーザーは閲覧履歴とキャッシュを消去することでこの問題を解決できますが、iOS 10.3 ではこの欠陥が完全に修正されたため、ユーザーは JavaScript ポップアップの無限サイクルに陥ることはなくなります。
詐欺師たちは、モバイル Safari のポップアップ処理を悪用し、料金を支払わない限り、または Safari のキャッシュをクリアするだけで済むことを知っていない限り、ユーザーは Safari を使用できなくなってしまうように仕向けました。
この問題の詳細な説明は、Lookout ブログで読むことができます。
lomsen.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。