Apple solventa un problema en Safari que permitía «secuestrarlo»

Ayer Apple lanzó la actualización de iOS 10.3 para todo el mundo. Con esta nueva versión, varios problemas, exploitsbugs se solventaron, además de otras pequeñas mejoras. Entre estos problemas que se solucionaron tenemos uno que permitía que una página web secuestrara el navegador Safari mediante un código JavaScript.

¿Cómo hacían para «secuestrar» el navegador de Safari?

Hace ya algunos meses, un tipo de malware ya conocido del pasado volvió a tomar fuerza. Hablamos del ransomware, que consiste en el acto de secuestrar un dispositivo. Para poder liberarlo, habitualmente el delincuente suele pedir una cantidad de dinero a cambio.

Pues bien. Una práctica de ransomware se hizo muy popular en iOS, pero en lugar de secuestrar el dispositivo entero tan sólo afectaba al navegador. Esta práctica consistía en, mediante un código JavaScript ejecutado desde una página web, mostrar un aviso simulando ser de la policía. En dicho aviso se diría que el navegador ha sido bloqueado por el consumo de pornografía. Junto a esto se adjuntaban unas instrucciones para realizar el pago.

Ransomware iOS Safari

Obviamente este tipo de mensajes son falsos, pero … ¿cómo hacían los delincuentes para bloquear Safari? Lo hacían mediante popups, unas ventanas emergentes del navegador lanzadas mediante código JavaScript de una página web. Aprovechando un pequeño defecto de Safari, estos salían constantemente, impidiendo así el uso del navegador. Salvo … que borraras la caché, pero poca gente sabe hacer eso.

Apple mejora en iOS 10.3 la seguridad en Safari restringiendo el uso de los popup de JavaScript

Gracias a este pequeño defecto de Safari, los delincuentes consiguieron llevarse una generosa cantidad de dinero. Por ello, Apple ha decidido ponerle final en la actualización que recibimos ayer mismo.

En iOS 10.3 este código malicioso ya no funciona. Esto es debido a que ahora los popup de Safari se aíslan entre las diferentes pestañas. Es decir, en lugar de bloquear todo el navegador web, ahora sólo se bloquea una pestaña, que es posible cerrar fácilmente.

Código JavaScript

Conclusión

Como podemos ver, Apple ya ha tomado cartas en el asunto, ayudando así a que iOS sea cada vez un poco más seguro.

Aun así, considero oportuno recordar que este tipo de mensajes de la «policía» en el navegador son totalmente falsos. Ningún cuerpo de seguridad bloqueará tu dispositivo de esa forma, y mucho menos te pedirán dinero directamente. Por ello, recomendamos hacer caso omiso de todo este tipo de avisos, pues lo más probable es que sea de un delincuente, y en caso de duda, antes de pagar nada preguntarnos.

Vía MacRumors