从去年最后一个季度开始,浏览器假死的案例呈上升趋势。很多是通过恶意广告或是网站进行传播,黑客不仅是要吓唬用户还想“锁定”他们的浏览器。之前就有调用浏览器中的history.pushState 接口的漏洞已经被修复,还有臭名昭著的网页背景广告,浏览器中的新建的每个选项卡都会出现广告。
现在黑客们还利用了其他接口来锁定浏览器,这样用户会产生恐慌然后会打技术支持热线电话要求提供帮助。以下是Chrome浏览器版本号为64.0.3282.140产生的锁定情况:
以下可以看到主页内被嵌入了恶意代码,出于安全将部分代码打乱了:
以上红色划线部分可以看到有‘bomb_ch’ 和‘ch_jam’字样,浏览器中的Blob接口,最初是为了结合windows系统中的window.navigator.msSaveOrOpenBlob可以让用户将文件保存到本地,黑客正是利用了这个特点。ch_jam()会调取另一个函数bomb_ch(),这两个函数的功能和它们的名字一样,前者会阻塞浏览器,后者会对浏览器进行轰炸,具体表现为轮流使用Blob接口调取浏览器的下载功能。整个过程非常快,一眨眼就完成了,肉眼都无法看清楚。在如此短时间内使用大量的下载任务,而且用户都来不及关闭弹出的新选项卡。以下是Chrome浏览器假死前截图显示出选项卡页面的内容:
这种攻击的主要目的是让Windows系统上安装的Chrome浏览器假死,目前其他浏览器不受影响。考虑到现在Chrome占据了浏览器市场最大的份额,很可能接下来会带来大规模的社会工程攻击行为。鉴于这种公司行为主要通过恶意广告进行传播,最好的防御方法就是使用浏览器广告拦截插件,万一中招了还可以打开Windows系统中的任务管理器,强制杀死浏览器进程。
领取专属 10元无门槛券
私享最新 技术干货