Apple plet Safari-bug die scammers gebruikten in scareware-campagne

Apple heeft met de release van iOS 10.3 een update uitgebracht die een door scammers gebruikte Safari-bug moet oplossen. Deze zorgt ervoor dat een pop-up de browser onbruikbaar maakte, waardoor gebruikers dachten dat zij moesten betalen om deze weer te kunnen gebruiken.

Volgens beveiligingsbedrijf Lookout, dat de bug vond en aan Apple meldde, tonen de scammers de pop-ups op verschillende soorten websites, van pornosites tot muziekwebsites. Zo openen die sites een pop-up, die zich ook na herhaaldelijk op 'ok' klikken niet meer liet sluiten. Daarmee leek het alsof de Safari-browser niet meer te gebruiken was. Op de achtergrond toont de scareware een mededeling, die slachtoffers opriep om een betaling in de vorm van een iTunes-cadeaukaart te doen om het 'geblokkeerde' toestel weer te kunnen gebruiken.

Lookout schrijft dat de bug te maken had met de manier waarop Safari omgaat met pop-ups. De oplossing van Apple zorgt ervoor dat pop-ups niet meer de gehele app overnemen, maar alleen nog per tabblad worden getoond. De javascript-code die de scammers gebruiken, is al eens eerder gebruikt in een voorgaande campagne. De criminelen maken gebruik van een groot aantal domeinen om pop-ups aan gebruikers te tonen die 'controversiële inhoud' bekeken.

In dit geval gaat het om scareware, omdat het apparaat in werkelijkheid helemaal niet geblokkeerd is. Doordat de pop-ups in een eindeloze loop blijven verschijnen, kan deze indruk worden gewekt, maar het verschijnsel is te verhelpen door de Safari-cache te legen. Er is dus geen code gebruikt om de sandbox van Safari te doorbreken, aldus Lookout. De fix zit in iOS 10.3, een update die Apple maandagavond uitbracht.

Afbeelding via Lookout

IT-banen

Reacties (41)

Evyd13 28 maart 2017 09:43

Het verrast mij dat elke moderne browser op de pc al een functie heeft om pop-ups te blokkeren dmv een vinkje in de pop-up zelf, maar mobiele browsers dit nog niet hebben.

Edit: Ik bedoel inderdaad alerts.

[Reactie gewijzigd door Evyd13 op 22 juli 2024 15:44]

gjmi @Evyd13 • 28 maart 2017 10:22

Je bedoelt het vast anders, want hoe blokkeer je een pop-up met een vinkje in de pop-up zelf? Dan is die pop-up er namelijk al....

Er is wel een instelling om pop-up vensters te blokkeren. Maar dit is een tekst pop-up. Dat is vast anders....

binair @gjmi • 28 maart 2017 10:41

je kan (o.a. in chrome) bij een pop-up een vinkje inschakelen om geen pop-ups van die site meer weer te geven. Je krijgt dus wel een eerste pop-up te zien maar kan er voor kiezen om alle volgende pop-ups te blokkeren.

bauke1994 @binair • 28 maart 2017 12:44

het gaat hier om pop-ups niet om alerts en confirms die jij bedoelt.

pop-ups worden door alle browsers in zekere mate geblokkeerd maar niet allemaal.

Verwijderd @bauke1994 • 28 maart 2017 18:03

Uuuuh, sorry dat ik het zeg maar die popups zijn gewoon javascript alerts....
Dat Apple weer bijzonder moet doen en het popups noemt betekend niet dat het opeens iets compleet anders is.

Voorbeeldje van oudere iOS versie

En ja, bij die alerts kun je gewoon aangeven wat er moet gebeuren als je op OK drukt (bijv een nieuwe alert)

Het is gewoon beschamend dat Apple dit soort dingen nu pas begint te doen, nadat notabene een beveiligingsbedrijf ze hier op heeft moeten wijzen, javascript is toch wel het eerste wat je als browser bouwer goed dichttimmerd, dat javascript 'gevaarlijk' kan zijn is basis kennis, dat een beveiligingsonderzoeker (lol, lekker 'onderzoek') ze dit moet vertellen is uitermate bespottelijk en toont voor de zoveelste keer aan hoe Apple in een zeepbel leeft.

ultimate-tester @gjmi • 28 maart 2017 10:44

De exploit werkt toch door steeds dezelfde popup te spammen? Als je een vinkje zet bij de eerste popup, dan worden alle popups met dezelfde text/content genegeerd van die site genegeerd. Dit principe zit op alle desktop browsers. Als je een zelfde popup voor de 2e keer te zien krijgt, zal er een checkbox bij staan waarmee je alle komende popups in de huidige sessie kan negeren.

[Reactie gewijzigd door ultimate-tester op 22 juli 2024 15:44]

lepel @ultimate-tester • 28 maart 2017 11:42

Niet eens met die tekst of content, het vinkje zegt iets als "Voorkom dat deze site nog popups toont" dus dan wordt alles van dat domein geblokkeerd.

jerkitout @lepel • 28 maart 2017 19:48

Ik ben toch op sites gekomen die dit op een of andere manier toch weten te omzeilen. Is er ergens waar ik deze sites kan reporten zodat de Chrome team kan analyseren hoe de bypass werkt?

lepel @jerkitout • 28 maart 2017 23:46

Nou, ik vraag me af hoe het zou werken wanneer je meerdere iframes hebt met verschillende domeinen die alert boxes oproepen. Alhoewel ik aan mag nemen dat Chrome het op tab niveau regelt.

himlims_ @Evyd13 • 28 maart 2017 10:01

firefox mobiel geprobeerd?

Static Don

@Evyd13 • 28 maart 2017 10:23

Op iOS kan dit zeker. Dit doe je door naar 'Instellingen' > 'Safari' te gaan en onder het kopje 'Algemen' staat 'Blokkeer pop-ups' > aan / uit.

Ik neem aan dat dit dezelfde functionaliteit heeft als die op de desktop.

Ik heb verder geen ervaring met Android op dit gebied, maar ik kan me bijna niet voorstellen dat het er niet in zit.

Carlos0_0

Apple iOS
Apple

@Evyd13 • 28 maart 2017 10:37

Safari op IOS heeft gewoon een optie blokkeer pop-ups, geen idee of standaard aan staat maar bij mij wel.

Menesis @Evyd13 • 28 maart 2017 10:32

Ik geloof dat dit niet om een "klassieke" popup gaat (nieuw browserscherm) maar om een native alert box die steeds maar weer bleef verschijnen?
Het lijkt mij niet wenselijk om native alert boxen te blokkeren aangezien die vaak nuttige informatie bevatten.

Menesis @ATS • 28 maart 2017 13:02

volgens mij snap je niet wat ik bedoel

Maurits van Baerle 28 maart 2017 09:36

Prachtig, de "politie" die boetes in met iTunes giftcards...

henk717 @Maurits van Baerle • 28 maart 2017 10:19

Opvallend genoeg een veel voorkomende tactiek waar mensen toch in trappen.
We zien dit ook veel met de IRS scammers die in america opereren en claimen dat je bijna een hoge straf krijgt omdat de belasting niet op tijd is betaald. Ze gebruiken dan als smoes dat overschrijven naar een bank rekening niet snel genoeg aan komt om nog onder de straf uit te komen en stellen dan voor het over te maken via moneygram of gift cards zodat de medewerker aan hun kant het geld kan omzetten en de boete kan aflossen.

GeforceAA 28 maart 2017 09:31

Wel goed dat de update dan meteen beschikbaar is voor miljoenen devices.

phYzar @GeforceAA • 28 maart 2017 10:59

Wel slecht dat je je hele OS moet updaten omdat er een bug in een enkele app zit

Verwijderd @GeforceAA • 28 maart 2017 09:35

Ja, dat lijkt me in deze tijden met iedereen aan de smartphone wel een vereiste zeg.

supersnathan94

Apple
Apple iOS

@Verwijderd • 28 maart 2017 09:50

Lijkt mij zeer wenselijk als je ziet dat henk en ingrid ook zo'n ding hebben en geen idee hebben wat er gbeeurt op zo'n moment.

Martijntj @Verwijderd • 28 maart 2017 09:44

Maar dat is dus niet in alle gevallen wat plaatsvindt. Bij iOS en Apple wel, maar bij Android willen niet alle updates altijd voor iedereen beschikbaar zijn?

Verwijderd @Martijntj • 28 maart 2017 09:45

Ik ga er toch vanuit dat beveiligheidsingsupdates gelijk en voor iedereen kosteloos beschikbaar zijn?

Martijntj @Verwijderd • 28 maart 2017 09:47

Ik betwijfel of die aanname juist is bij Android - bij iOS sowieso.

Verwijderd @Martijntj • 28 maart 2017 09:48

Dat zou me enorm onverantwoordelijk lijken van de ontwikkelaars van Android. Google zit daar toch achter? Die zijn altijd zo fel op updates enzo.
Ik denk dat je je vergist hoor.

sjettepetJR. @Verwijderd • 28 maart 2017 10:38

Google levert inderdaad gewoon op tijd (beveiligings-)updates uit voor Android, maar de fabrikanten van de telefoons(Samsung, Xiaomi, Sony) maken zelf hun aanpassingen aan Android, waardoor die fabrikant zelf de updates moet testen en verspreiden voor hun eigen modellen.

zover ik weet worden de Google-Play-Services updates wel door Google gepusht.

DigitalExorcist @sjettepetJR. • 28 maart 2017 10:56

Ja; en dan heb je óók nog eens providers zelf die updates wel of niet kunnen doorvoeren.

1) Google moet zorgen voor een update
2) Samsung (als voorbeeld) moet die update doorvoeren
3) Je provider (T-Mobile, Vodafone, etc) moet die update óók nog eens beschikbaar stellen in jouw land. Hoewel je zonder heel veel moeite ook vaak de update uit stap 2 kan pakken die niet provider-specifiek is.
4) Je koopt een iPhone en je bent er zeker van dat je altijd updates krijgt gedurende de levensduur van je telefoon. Bam.

Raventhorn @Verwijderd • 28 maart 2017 09:53

Helaas. Bij Android levert Google weliswaar beveiligingsupdates, maar het is aan de fabrikanten om deze verder te distribueren.
Omdat de fabrikanten veelal hun eigen schil (naar mijn idee vooral bloatware) over Android heen leggen, is dat vaak lastiger dan 'gewoon even een OTA pushen'.

Dat betekent in de praktijk dus dat de vlaggenschepen veelal wel updates ontvangen, het toestel daar direct onder mogelijk, en de rest kan het vergeten.

Verwijderd @Raventhorn • 28 maart 2017 10:30

Maar dat is toch een gevaarlijke situatie??? Dat dit kan in Nederland!

ultimate-tester @Verwijderd • 28 maart 2017 10:48

Geen idee of jouw comment cynisch is? Je doet alsof er iemand is overleden. Je moet een android toestel gewoon zo dicht mogelijk bij Google kopen. Google heeft op het begin teveel erop vertrouwd dat fabrikanten hun toestellen tijdig deden updaten. Daar brengen ze verandering in door zelf toestellen te ontwikkelen. Deze krijgen alle updates altijd als eerste (vergelijk dit met Apple toestellen, je koopt bij Apple en omdat Apple toevallig ook het OS maakt krijg je gelijk de updates). Na een paar jaar wordt het toestel te oud om nog te updaten, dan moet je upgraden naar een nieuwer toestel (of rooten/jailbreaken. Bij iOSom nieuwere apps te installeren en bij Android om een nieuwer besturingssysteem te installeren), ook dit principe kent Apple. Ze zijn dus helemaal niet verschillend van elkaar zo lang je het maar eerlijk en op dezelfde manier vergelijkt.

[Reactie gewijzigd door ultimate-tester op 22 juli 2024 15:44]

Verwijderd @ultimate-tester • 28 maart 2017 10:53

Je hebt zoveel energie in je post gestoken dat ik nu niet meer durf te zeggen of mijn post cynisch was.

ultimate-tester @Verwijderd • 28 maart 2017 13:15

Geen probleem. Ik heb dat stuk tekst altijd op een sticky note staan zodat ik het gemakkelijk kan plakken wanneer de volgende ios/android discussie begint.

Rub3s @Martijntj • 28 maart 2017 10:27

Is het niet zo dat veel Apple apps amper los geupdate worden, maar dat die updates vast zitten aan de versie van IOS? (misschien zit ik er naast, maar dacht zoiets gezien te hebben)

Bij Android kunnen alle apps los geupdate worden, ook belangrijke apps zoals browsers. Je kan dan een oude Android versie hebben, maar toch een nieuwe versie van Chrome. Dit lijkt mij veel flexibeler.

DigitalExorcist @Rub3s • 28 maart 2017 10:53

Apple biedt tegenwoordig (dacht met iOS 10.1? Of 10.2? ) hun 'native' apps veelal los aan, je kunt ze nu ook gewoon los verwijderen. Dus ook updaten, lijkt me

jabwd @Rub3s • 28 maart 2017 10:57

Apple apps moeten inderdaad via iOS updates. Apple houdt een ander update cycle vast, in de meeste opzicht is de cycle van google natuurlijk veel beter maar voornamelijk belangrijk voor Chrome ivm security. Het liefste zou ik geen google software gebruiken aangezien het bedrijf inherent evil is, maar chrome is nou eenmaal gewoon veel beter voor security.

Apple zou hetzelfde met safari moeten doen, maarja, ik kan hier wel een pagina schrijven aan waarom apple een idioot aan het uithangen is om safari op iOS monopolie te geven maar dat weet iedereen hier wel.
Het is iig fijn dat er een update uit is en ik gemakkelijk updaten kan.

OkselFris @jabwd • 28 maart 2017 14:18

Nee lang niet alle apps, veel apps zijn van IOS osgetrokken. Safari wel, gezien het diep geïntegreerd is in IOS.
Safari updates komen vaak gecombineerd met andere IOS updates, dat betekent niet dat ze deze niet versnelt kunnen uitbrengen als het nodig is. Ook een kritische bug kunnen ze onmiddellijk fixen. naam van de update is dan alleen IOS 10.* etc..
Het is maar net wat van waarde je hecht aan de naam van de updates.

Apple zou in mijn ogen niet hetzelfde moeten doen, omdat het onnodig is. Ze kunnen gewoon snel een update uitbrengen als het werkelijk nodig is.
Je moet een verschil trekken tussen het IOS en Abdroid platform en de visie erachter. Safari is geen monopolie want je kan andere browsers gebruiken, alleen stelt Apple daar eisen aan, zoals in het gebruik van de engine.
Apple integreert de browser meer in het systeem , Google laat alles open (ook weer niet echt) beiden hebben zijn voor en nadelen.
Doordat Apple het zo heeft dicht getimmerd is security wat betreft de browser niet een groot issue.

Het is maar net wat je wilt.

Rub3s @GeforceAA • 28 maart 2017 11:49

Nee dat zeg ik niet, ik zeg alleen dat vulnerabilities in Google apps gemakkelijker te verhelpen zijn voor Android, dan vulnerabilities in Apple apps voor IOS.

Het updaten van Android zelf is inderdaad een beetje een drama, de enige troost is dat heel wat onderdelen in Android veranderd zijn in losse apps.

smiba @GeforceAA • 28 maart 2017 11:26

Heel creatief met die linkjes zo, maar het effect gaat er een beetje vanaf door dat de eerste 2 het zelfde artikel betreft en de laatste specifiek voor samsung is.

Ben het opzich wel met je eens dat Android inderdaad een update probleem heeft (Voor de noob dan, de gemiddelde tweaker kan wel een rom flashen)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (41)

Sorteer op:

Weergave: