Malvertising campaign abuses Chrome for iOS bug to target iPhone users


ผู้เชี่ยวชาญพบแคมเปญมัลแวร์ใช้ประโยชน์จากช่องโหว่บน Chrome ในมือถือสำหรับ iOS เพื่อเปลี่ยนเส้นทางผู้ใช้ iPhone และ iPad ไปยังเว็บไซต์ที่เป็นอันตราย

ข้อผิดพลาดนี้ช่วยให้โค้ดที่เป็นอันตรายซึ่งถูกซ่อนไว้ในเว็บไซต์โฆษณาสามารถหลบหลีกจากการถูกตรวจจับจาก Sandbox iframe ได้ และเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อื่นหรือแสดงป๊อปอัปที่น่ารำคาญบนเว็บไซต์ที่ถูกกฎหมาย ส่งผลกระทบกับ Chrome สำหรับ iOS เท่านั้น

Sandbox attribute บน iframe tag เป็นความสามารถที่ช่วยเพิ่มเติมด้านความปลอดภัยให้กับผู้ใช้งานเว็บไซต์ โดยเอกสารหรือหน้าเว็บไซต์โฆษณาที่ถูกดึงมาและอยู่ใน iframe จะถูกจำกัดความสามารถบางอย่าง เช่น ไม่สามารถถูกใช้ submit ข้อมูลได้, ไม่สามารถรัน script ได้, ไม่สามารถถูกใช้ในการเรียก API ได้ และความสามารถที่จะทำงานเองอัตโนมัติ จะไม่สามารถทำงานได้ เป็นต้น

ทั้งนี้สาเหตุที่กระทบกับ Chrome สำหรับ iOS เพียงอย่างเดียวนั้น เป็นเพราะว่า Chrome บน iOS ไม่ใช่ Chromium-based browser แต่ทำงานบน WebKit ซึ่งเป็นเครื่องมือแสดงผลเบราว์เซอร์ภายในของ Safari อย่างไรก็ตาม Safari ไม่ได้รับผลกระทบจากข้อผิดพลาดนี้ ซึ่งหมายความว่านี่เป็นปัญหาที่เกิดจากการพัฒนาของ Google เพื่อให้ Chrome บน iOS สามารถทำงานร่วมกับ WebKit ได้เท่านั้น

ที่มา : zdnet