Кампания по вредоносной рекламе eGobbler для iOS использует Chrome нулевого дня

Согласно сообщению в блоге исследователей из Confiant, в настоящее время ведется кампания по вредоносной рекламе, специально нацеленная на пользователей iOS. Кампания по вредоносной рекламе, названная Confiant «eGobbler», была обнаружена в начале апреля и доведена до сведения Google, поскольку она использует эксплойт нулевого дня в Chrome. Кампания eGobbler была наиболее активной в период с 6 по 10 апреля и включала многочисленные «мини-кампании», направленные на перехват сеансов у пользователей iOS.

Около 500 миллионов сеансов пользователей iOS оказались подвержены этой кампании благодаря разрушительному характеру нулевого дня Chrome. Что делает eGobbler настолько разрушительным, помимо его явного охвата, так это полезная нагрузка, которую злоумышленники используют против пользователей. Исследователи из Confian в своем анализе обнаружили, что полезная нагрузка невероятно нетипична для кампании вредоносной рекламы. Они объясняют следующим образом:

Сразу же мы были удивлены, обнаружив, что основной механизм перехвата сеанса полезной нагрузки основан на всплывающих окнах, и, кроме того, Chrome на iOS был исключением в том, что встроенный блокировщик всплывающих окон постоянно терпел неудачу… Возможно, самая захватывающая вещь о вредоносной рекламе Эксплойт, используемый eGobbler, заключается в том, что его нельзя предотвратить с помощью стандартных атрибутов песочницы для рекламы.

Хотя на первый взгляд директивы allow-popups выглядят так, будто в полезной нагрузке eGobbler нет ничего особенного, это не так, потому что эти действия должны быть возможны в результате прямого взаимодействия с пользователем — требование, которое эксплойт eGobbler успешно обходит. Тот факт, что этот эксплойт может обойти необходимость взаимодействия с пользователем, должен быть в соответствии с политикой одного и того же источника, поскольку он относится к фреймам из разных источников. Кроме того, это полностью обходит функцию защиты от перенаправления браузера, поскольку злоумышленнику больше не нужно даже создавать перенаправление, чтобы перехватить сеанс пользователя.

Тот факт, что этот эксплойт может обойти необходимость взаимодействия с пользователем, должен быть невозможен в соответствии с политикой одного и того же источника, поскольку он относится к фреймам из разных источников.

Из-за массивного эксплойта и уникальной полезной нагрузки у 500 миллионов пользователей iOS, затронутых eGobbler, не было ни единого шанса. Google еще не исправила проблему нулевого дня и не ответила журналистам InfoSec, которые связались с ними по поводу ситуации. На самом деле, на данный момент это будет игра ожидания, пока эксплойт не будет исправлен. Тем временем пользователи iOS (и, возможно, Android), которые используют Chrome, должны немедленно прекратить и удалить браузер, пока эта проблема не будет решена.