En estas ventanas se hacía creer al usuario que estaban viendo porno que debían pagar una multa. El defecto consistía en la forma en la que Safari muestra las ventanas emergentes. Investigadores del proveedor de seguridad móvil Lookout describieron el código de explotación, el cual se encontraba implantado en diversos sitios web, y el cual causó que un bucle de interminables ventanas se mostrara de una manera que impedía que se usara el navegador. Las ventanas que emergían se presentaban como acciones de aplicación de la Ley y, de forma fraudulenta, se afirmaba que la única manera que tenían los usuarios para recuperar el uso del navegador era pagar una multa en forma de tarjeta de regalo de iTunes.
Figura 1: Ventanas emergentes y estafa
Para recuperarse del bucle de ventanas emergentes el usuario solo debía entrar en la configuración del dispositivo y borrar la caché del navegador. Esta solución es muy simple, pero, seguramente, muchos usuarios ante la vergüenza que pudieran sentir ante la situción no solicitarían ayuda externa. Los investigadores Andrew Blaich y Jeremy Richards comentaron: "Los atacantes utilizaron el miedo del usuario como un factor para obtener lo que querían antes de que la víctima se diera cuenta de que había poco riesgo real".
Apple ha corregido la vulnerabilidad en la nueva versión de iOS, la 10.3. El Javascript utilizado en el ataque muestra signos de ser utilizado para explotar el mismo defecto de Safari presente en iOS 8. Los atacantes compraron un gran número de dominios en un intento de atrapar a los usuarios que buscan contenidos pornográficos en Internet. Los usuarios de iOS que hayan sido víctimas o intento de víctimas solo tienen que entrar en los ajustes y borrar la caché de navegación.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...