苹果今天早些时候发布了 iOS10.3 正式版,其中包含了许多新功能。照常,还有一些没有写在更新日志中的改变。外媒 Arstechnica 指出,iOS 10.3 正式版修复了 Safari 中允许诈骗者欺骗用户支付费用的漏洞。
Arstechnica 的报告显示,上述 Safari 的这一漏洞允许诈骗软件的黑客用无限弹窗的方式阻止用户使用浏览器,攻击者宣称自己是执法部门,称用户查看了非法网站,解决问题的唯一办法是通过短信发送 iTunes 礼品卡的方式支付罚款。黑客针对的主要是观看色情内容或试图非法下载音乐或其他内容的用户。
Lookout 的研究人员描述了黑客如何捕获用户并欺骗他们支付赎金费用:
诈骗者滥用移动 Safari 中的弹出式对话框的功能,以阻止受害者使用浏览器。攻击将阻止在 iOS 上使用 Safari 浏览器,直到受害者以 iTunes 礼品卡的形式支付攻击者赎金。在封锁期间,袭击者显示出威胁性的信息,企图吓倒恐吓受害者,并令其付钱。
事实上,解决这个问题的方法很简单,用户可以通过清除其浏览历史和缓存来解决问题,但不了解的用户往往不知所措。使用 iOS10.3 正式版,这一漏洞已经完全被修复,因此用户不会再被困在 JavaScript 弹出窗口的无尽循环中。