骇客开采WebKit漏洞，可将iOS、Mac用户导向诈骗网站

安全厂商发现，苹果浏览器Safari核心引擎WebKit的一项漏洞遭骇客开采，将用户导向诈骗网站以骗取个资。

安全厂商Confiant在2018年即发现名为ScamClub的骇客组织在网络上活动，骗取用户个资或信用卡资讯。这只恶意广告软件会先植入恶意JavaScript于合法的线上广告或网站上。骇客会谎称用户抽到了Amazon价值1,000美元的礼物卡或iPhone，诱骗用户点选广告按键，再导向诈骗网站，要求其输入信用卡或个资。2018年底的一次攻击中，ScamClub恶意广告在48小时即创造3亿次连线。

Confiant最新研究发现，这个骇客组织发展出新手法来突破浏览器防护。研究人员Eiya Stein指出，WebKit中的“allow-top-navigation-by-user-activation”沙箱属性一向是重要的防恶意广告重导引工具，可防止任何流量重导引，除非用户启动（即网页iFrame内的点击动作）外。但是WebKit处理JavaScrpit event listener的元件存在一个漏洞CVE-2021-1801，成功开采可突破WebKit的沙箱防护，将用户从植入恶意JavaScript的合法网站或广告导向诈骗网站。研究人员也在其PoS实验下传送一个简单的HTML档，该档案实作了跨网站Frame及发送event的按键，成功开采该漏洞。

WebKit为Mac及iOS平台上Safari，以及iOS版Chrome浏览器的引擎，这些浏览器都受影响。

CVE-2021-1801漏洞可远端执行，且不需任何验证，被列为重大风险。虽然需要用户互动（点击讯息按键），但研究人员指出，现代Web应用中使用目的地网页掩码（wildcard）的讯息很多，许多还需要用户互动。攻击者将恶意JavaScript植入数十个合法网站，只要中计的用户比例增加几个百分点，就会增加数十万次曝光率。

这波ScamClub恶意广告活动相当有效。研究人员指出，过去90天已创造了超过5000万次恶意广告曝光率，它大部分时间维持低调，偶有几天有爆发流量，最高峰曾在一天创造出1600万次曝光。

Confiant团队去年6月发现这波ScamClub骇客活动，并在隔天就通报了苹果及Google。WebKit团队于12月修补漏洞。苹果则在1月26日释出iOS/iPadOS 14.4，2月9日针对macOS Big Sur 11.2、Catalina及Mojave释出安全更新。