安全厂商发现,苹果浏览器Safari核心引擎WebKit的一项漏洞遭黑客开采,将用户导向诈骗网站以骗取个人信息。
安全厂商Confiant在2018年即发现名为ScamClub的黑客组织在网络上活动,骗取用户个人信息或信用卡信息。这只恶意广告软件会先植入恶意JavaScript于合法的线上广告或网站上。黑客会谎称用户抽到了Amazon价值1,000美元的礼物卡或iPhone,诱骗用户点击广告按钮,再导向诈骗网站,要求其输入信用卡或个人信息。2018年底的一次攻击中,ScamClub恶意广告在48小时即创造3亿次连接。
Confiant最新研究发现,这个黑客组织发展出新手法来突破浏览器防护。研究人员Eiya Stein指出,WebKit中的“allow-top-navigation-by-user-activation”沙箱属性一向是重要的防恶意广告重引导工具,可防止任何流量重引导,除非用户启动(即网页iFrame内的点击动作)外。但是WebKit处理JavaScrpit event listener的组件存在一个漏洞CVE-2021-1801,成功开采可突破WebKit的沙箱防护,将用户从植入恶意JavaScript的合法网站或广告导向诈骗网站。研究人员也在其PoS实验下发送一个简单的HTML档,该文件实例了跨网站Frame及发送event的按钮,成功开采该漏洞。
WebKit为Mac及iOS平台上Safari,以及iOS版Chrome浏览器的引擎,这些浏览器都受影响。
CVE-2021-1801漏洞可远程执行,且不需任何验证,被列为重大风险。虽然需要用户交互(点击消息按钮),但研究人员指出,现代Web应用中使用目的地网页掩码(wildcard)的消息很多,许多还需要用户交互。攻击者将恶意JavaScript植入数十个合法网站,只要中计的用户比例增加几个百分点,就会增加数十万次曝光率。
这波ScamClub恶意广告活动相当有效。研究人员指出,过去90天已创造了超过5000万次恶意广告曝光率,它大部分时间维持低调,偶有几天有爆发流量,最高峰曾在一天创造出1600万次曝光。
Confiant团队去年6月发现这波ScamClub黑客活动,并在隔天就通报了苹果及Google。WebKit团队于12月修补漏洞。苹果则在1月26日发布iOS/iPadOS 14.4,2月9日针对macOS Big Sur 11.2、Catalina及Mojave发布安全更新。