AppleはiOS 10.3でJavaScriptを利用しSafariを無限ループに陥れるスケアウェア攻撃を対処したようです。詳細は以下から。
Appleは2017年03月07日、「iOS 10.3」をリリースし、この中にはECMAScript 2016や2017をサポートした「Safari 10.1」が同梱されていますが、米LookoutやMalwarebytesによるとiOS 10.3(Safari 10.1)ではJavaScriptのポップアップ表示の不具合を利用し、Safariを無限ループに陥れる脆弱性が修正されているそうです。
iPhoneをロックされて身代金要求される?早急にiOS 10.3にアップデートを。https://t.co/fN8oTNlQxq https://t.co/ZcMhRigULg
— Lookoutモバイルセキュリティ (@LookoutJP) 2017年3月31日
It's not just #Windows users that have to worry about #malvertising, #IOS users check this out: https://t.co/FqB1SMnpqx. by @jeromesegura pic.twitter.com/voFEMPZxdj
— Malwarebytes (@Malwarebytes) 2017年4月6日
今回の攻撃は、iOS 10.2端末を利用しているLookoutユーザーからのサポート問い合わせにより発覚しました。それによると、とあるウェブサイトを閲覧後にSafariが操作不能となり、Safariそのものが利用できなくなってしまったとのことでした。このユーザーが送ってきたスクリーンショット(下図)にはpay-police[.]comから送られたランサムウェアのメッセージが表示され、「Cannot Open Page(ページを開くことができません)」というダイアログボックスがSafari画面の上に表示されていました。この状況では、「OK」をタップしても同じ画面が新しく表示されるだけで、事実上ブラウザが同じダイアログ画面を表示する無限ループに取り込まれているため、ブラウザが使用不能となっていました。
Lookout がiOS版Safariで発生するスケアウェア攻撃を発見 – LOOKOUT ブログ
両サイトによるとSafariを標的としたスケアウェア攻撃/サイトはこの脆弱性を利用し、Safariを使用不可能(ロック)にした後、ロックの解除と交換にiTunesカードや無料のVPN/ウィルス対策アプリのインストールを要求したそうですが、現在これらのサイトはAppleおよびGoogleに報告され以下の様にブロックされるようになっています。
今後同様のサイトにアクセスしてしまった場合は?
既に報告されたサイトはブロック/消えていましたが、Lookoutは今後同様のサイトを表示してしまった場合、ポップアップが表示されるタブを閉じる(iOS 10.3以降で可能)か、設定アプリから[Safari]→[履歴とWebサイトデータを消去]を選択し、一度Safariをリセットすることを推奨しています。
AppleはiOS 10.3でSafariにおけるポップアップダイアログの処理方法を変更したため、この攻撃を防ぐことができます。iOS10.3では、Safariのポップアップはアプリ全体ではなくタブ単位での実行に切り替わりました。
Lookout がiOS版Safariで発生するスケアウェア攻撃を発見 – LOOKOUT ブログ
コメント
まとめサイトにこれに似た不快な動作をするものがある。
広告ブロッカーを使っていると、ページのリロードを何十回も繰り返すよう仕込まれている上に、直リンを踏めないようURLを逆から綴って、逐次スクリプトで直すなど、用意周到。