Apple iOS 10.3修复了基于JavaScript的勒索软件活动中使用的Safari漏洞

一项新的勒索软件活动被发现利用苹果iOS Safari浏览器中的一个漏洞，向在手机上观看色情内容或试图非法下载盗版音乐或其他敏感内容的用户勒索钱财。

However, the good news is that Apple patched the web browser vulnerability on Monday with the release of iOS version 10.3.

移动安全提供商Lookout的研究人员在周一发布的一篇博文中表示，Safari显示JavaScript弹出窗口的方式存在漏洞，这使得勒索软件诈骗者可以显示无休止的弹出窗口循环，阻止受害者使用浏览器。

受害者最终会出现在一个攻击者网站上，该网站伪装成合法的执法网站，告知受害者，他们必须为观看非法内容支付罚款，才能重新访问他们的浏览器。

Lookout的研究人员称这种攻击为“恐吓软件”，因为这种攻击实际上并没有加密任何数据并将其作为赎金。相反，这次攻击只是吓唬受害者支付赎金解锁浏览器。

Lookout解释说：“这些骗子滥用了Mobile Safari中弹出对话框的处理方式，以至于它会阻止受害者使用浏览器。”。
“攻击将阻止在iOS上使用Safari浏览器，直到受害者以iTunes礼品卡的形式向攻击者付款。在锁定期间，攻击者显示威胁性消息，试图恐吓和胁迫受害者付款。”

诈骗者有效地利用恐惧作为一个因素，让受害者在意识到他们的数据没有真正的风险之前支付费用，并且很容易克服这个问题。

虽然克服用户面临的威胁就像清除浏览历史记录和缓存一样简单，但iOS 10.3用户不再有陷入无休止的JavaScript弹出循环的风险。

Lookout的研究人员上个月与苹果分享了这次iOS漏洞攻击的原因，苹果公司通过发布iOS 10.3迅速解决了这个问题。现在，弹出窗口只接管一个选项卡，而不是整个应用程序。

那些已经被勒索软件攻击的iOS 10.2用户可以通过导航到设置；清除历史记录和网站数据。