圖片來源: 

Apple

安全廠商發現,蘋果瀏覽器Safari核心引擎WebKit的一項漏洞遭駭客開採,將用戶導向詐騙網站以騙取個資。

安全廠商Confiant在2018年即發現名為ScamClub的駭客組織在網路上活動,騙取用戶個資或信用卡資訊。這隻惡意廣告軟體會先植入惡意JavaScript於合法的線上廣告或網站上。駭客會謊稱用戶抽到了Amazon價值1,000美元的禮物卡或iPhone,誘騙用戶點選廣告按鍵,再導向詐騙網站,要求其輸入信用卡或個資。2018年底的一次攻擊中,ScamClub惡意廣告在48小時即創造3億次連線。

Confiant最新研究發現,這個駭客組織發展出新手法來突破瀏覽器防護。研究人員Eiya Stein指出,WebKit中的「allow-top-navigation-by-user-activation」沙箱屬性一向是重要的防惡意廣告重導引工具,可防止任何流量重導引,除非用戶啟動(即網頁iFrame內的點擊動作)外。但是WebKit處理JavaScrpit event listener的元件存在一個漏洞CVE-2021-1801,成功開採可突破WebKit的沙箱防護,將用戶從植入惡意JavaScript的合法網站或廣告導向詐騙網站。研究人員也在其PoS實驗下傳送一個簡單的HTML檔,該檔案實作了跨網站Frame及發送event的按鍵,成功開採該漏洞。

WebKit為Mac及iOS平臺上Safari,以及iOS版Chrome瀏覽器的引擎,這些瀏覽器都受影響。

CVE-2021-1801漏洞可遠端執行,且不需任何驗證,被列為重大風險。雖然需要用戶互動(點擊訊息按鍵),但研究人員指出,現代Web應用中使用目的地網頁掩碼(wildcard)的訊息很多,許多還需要用戶互動。攻擊者將惡意JavaScript植入數十個合法網站,只要中計的用戶比例增加幾個百分點,就會增加數十萬次曝光率。

這波ScamClub惡意廣告活動相當有效。研究人員指出,過去90天已創造了超過5000萬次惡意廣告曝光率,它大部份時間維持低調,偶有幾天有爆發流量,最高峰曾在一天創造出1600萬次曝光。

Confiant團隊去年6月發現這波ScamClub駭客活動,並在隔天就通報了蘋果及Google。WebKit團隊於12月修補漏洞。蘋果則在1月26日釋出iOS/iPadOS 14.4,2月9日針對macOS Big Sur 11.2、Catalina及Mojave釋出安全更新


熱門新聞

Advertisement