Une nouvelle campagne de malvertising a sévi sur Safari
Alors que vous vous baladiez tranquillement sur le web cet été, vous avez tout à coup été redirigé vers une page web louche ? Vous avez peut-être été victime d'une campagne de malvertising.
Les chercheurs en sécurité de Confiant expliquent qu'entre début août et mi-septembre, plus d'un milliard d'impressions publicitaires (affichage d'une pub sur un écran) ont été affectées par eGobbler, un éditeur malveillant qui exploite la publicité en ligne pour diffuser le plus largement possible ses escroqueries.
eGobbler a tiré parti d'une faille dans WebKit (CVE-2019-8771), le moteur de Safari, pour contourner la sandbox du navigateur et rediriger automatiquement l'internaute vers un site indésirable. La faille a été comblée dans iOS 13 et Safari 13.0.1.
Ce n'est pas la première campagne de malvertising qui touche les utilisateurs Apple. Au début de l'année, une autre conduisait les internautes vers une page invitant à télécharger une fausse version de Flash qui se trouvait être un logiciel infestant le Mac de pubs.
Mes parents ont eu le problème sur un site d’un journal régional. J’ai cherché longtemps d’où venait cette pub intempestive ! J’ai cru à un malware mais rien d’installer sur le mac 🙁
Je vous ai prévenu récemment de ce phénomène sur VOTRE propre site !
D'ailleurs vous n'êtes pas les seuls, tous les sites sont touchés y compris ceux qui ont pignon sur rue (Fnac.com par exemple)
Les sites sont pour le coup TRES variés dans leur présentation de l'arnaque et se font passer pour des mises à jour Apple, Flash, et autres !
Quelques conseils:
- Décocher la case d'ouverture des fichiers de confiance sous Safari !
- Ne valider AUCUNE alerte qui s'ouvre. Fermer l'onglet ou le navigateur, quite à forcer à quitter au besoin.
- Pensez à passer des coups de scans régulier avec les antivirus gratuit sur l'AppStore (Intego, BitDefender,..)
Généralement je bloque ce genre de domaines pourris avec Little Snitch.
M'enfin, il suffit de fermer la page qui surgis et de ne rien installer.
Je serais curieux de savoir comment tu fais ? puisque par défaut, tu ne peux pas connaitre d'où vient l'attaque ? c'est des redirections...
J'ai LittleSnicth et j'ai déjà eu plusieurs fois ces sites qui s'activent sans que tu ne puisses rien n'y faire. D'ailleurs, je suis curieux de savoir si les antivirus payants peuvent stopper l'accès à ces sites ?
Il faut repérer le domaine de redirection dans le moniteur et lui couper la chique. Cela affichera une page d'échec d'ouverture.
Pour les prochaines fois, mais tu ne laisses pas actif Little Snitch tout le temps dans Safari ?! Tu deviens fou si tu fais ça... (le faire dans mail me suffit déjà ! avec ce que je considère comme un bug sous Mail qui charge des liens lorsque tu consultes tes Spams, du coup, les mecs savent qu'il y a quelqu'un qui lit le mail, ils peuvent donc tranquillement te renvoyer les spams suivant :-(
Je comprends toujours pas comment tu arrives à connaitre les sites concernés à l'avance ?
@TheUMan
Dans mail, décocher “charger les images”
Réglages > Mail > Message > charger les images
Les spams n’ont aucun retour
@F7544
regarde la réponse que j'ai faite à marc_os plus bas...
Le but c'est que Mail le fasse uniquement pour les mails considérés comme du spam pas pour tous les mails. Or là, visiblement cela n'est pas le cas, loin de là.
"mais tu ne laisses pas actif Little Snitch tout le temps dans Safari "
Parlons-nous du même logiciel ?
Little Snitch est un coupe-feu. Il n'est pas "dans Safari". Il filtre les communications réseau entre la machine et l'extérieur, en entrée comme en sortie.
Le seul moyen de ne pas accéder au site avec Little Snitch c’est de le laisser actif y compris avec Safari donc il va s’activer en lançant des alertes à chaque fois qu’il charge un lien !!! C’est pas supportable, donc tu autorises rapidement tous les liens sortant de Safari.
Tu ne sais pas te servir de Little Snitch. Tant pis.
Super explication ! Je te demande justement comment tu fais ?
Soit tu crées une règle, mais il faut connaître l’adresse que tu veux filtrer, soit tu bloques la connexion au moment où elle se fait (mais pour cela il faut laisser le filtrage à chaque connexion). Si tu as un autre moyen je suis tout ouïe ? Tu ne vas pas autoriser tous les sites un par un…
@TheUMan
Mail ne charge pas « les liens » sauf si tu lui demandes d’afficher les images non chargées !
Par défaut il ne le fait pas sauf si tu as changé les réglages.
@marc_os
Oui j'ai bien la case "Charger le contenu distant des messages" de coché, mais :
D'apres la doc de mail:
Lorsque du contenu distant est récupéré à partir d’un serveur, des informations à propos de votre Mac peuvent être révélées. Vous pouvez désélectionner l’option pour plus de sécurité, mais certains messages pourront ne pas s’afficher correctement.
Le contenu distant ne s’affiche pas dans les messages que Mail marque comme indésirables.
Or, ce n'est PAS le cas, on le repère TRES facilement avec Little Snitch, lorsque tu vas sur les courriers indésirables et que tu le supprimes, là il va recharger tous les liens contenu dans le mail !!!
@TheUMan
Alors se fier à la reconnaissance automatique du spam pour piloter une fonction de sécurité comme charger le contenu des « liens distants », c’est une très mauvaise idée.
Tu ferais mieux simplement de cocher l’option pour systématiquement interdire ce téléchargement !
Mais si ça te fatigue de cliquer sur « charger les images » mail par mail et si tu préfères jouer avec le feu en utilisant une fonction dont tout le monde sait qu’elle n’est pas fiable à 100% (la reconnaissance du spam), c‘est ton choix et faut assumer !!
@marc_os
Tu es en train de détourné le fait qu'il y a réellement un bug dans la gestion des mails indésirable dans Mail.
Je vais décocher la case pour voir mais j'ai quand même de fort doute sur la pertinence de la gestion de Mail par rapport aux mails classés en indésirable. De plus, je peux très bien gérer ceux-ci de différentes façons, y compris avec un antispam professionnel externe.
Une solution moins radicale est de ne plus utiliser Mail, mais un autre gestionnaire de messagerie se comportant de façon beaucoup plus stricte avec les emails classés en indésirables, comme OutLook par exemple.
Sinon, avec Mail, je confirme qu'il ne faut "toucher" à aucun e-mail présent dans Indésirable (sauf ceux que l'on reconnaît d'après leur intitulé ou leur émetteur comme placés là par erreur). Il faut supprimer ces emails de spam via clic-droit "vider la boîte indésirable" en bloc, et surtout pas un par un, car même sans "charger les images" des emails en question, dès qu'on en "lit" un en le sélectionnant, il y a des échanges réseaux que Mail ne bloque pas.
@SyMich
Merci, je commençais à me dire que j’étais le seul à s’en soucier.
@SyMich
"Une solution moins radicale est de ne plus utiliser Mail"
C'est ce que je fais. Fini le répertoire "mail" dans le système qui pèse des Go et des Go, fini les 400 mails à rapatrier sur smartphone ou tablette parceque tu le check tous les 2 semaines vu que c'est pas ta machine principale, fini les embrouilles quand tu changes de machine, etc, etc
Gmail dans un navigateur, ça marche tout aussi bien, ça a les mêmes fonctionnalités, et ça bouffe zero place, et j'ai mes tous derniers mails quelque soit le device utilisé
Et ça fait "caisson" aussi, ce n'est que de la consultation à distance. C'est pas imparable, mais ça limite un peu les éventuels soucis.
@pocketalex
Oui mais non,si je ne souhaite pas de spams, je souhaites encore moi confier mes mails à Google... un bon serveur perso sous exchange, tu auras le même résultat sans vendre ton âme ;-)
@TheUMan
Loool
@marc_os
D'ailleurs, même en simplement recliquant dans le mail alors qu'il est pourtant dans la boite indésirable Mail lance des connexions !!!
@ TheUMan
Ok, il y a un bogue et tu le sais.
Pourquoi alors s'acharner à choisir le réglage le moins sûr et vouloir littéralement à tout prix télécharger automatiquement toutes les images ?
Peu importe son choix, le bug n'est pas lié au téléchargement, ou pas, des images.
Dans tous les cas, la simple sélection de l'email génère des échanges avec l'émetteur de l'email même sans télécharger les images incluses.
@ SyMich
C'est grave si c'est vrai.
Ce bogue est-il référencé chez Apple ?
Si vous avez LittleSnitch, il est très facile de le vérifier.
Il fut un temps où je jouais les bêta testeuses des nouvelles versions de MacOS X (j'ai arrêté avec Maverick, faute de temps) et j'avais plusieurs fois signalé l'anomalie. Impossible de savoir si ça a été pris en compte, mais force est de constater que ce comportement est toujours présent.
Hors sujet:
Les sms passe en wifi chez sosh ! Enfin !
@ipaforalcus
T’es un peu en retard l’ami
https://www.igen.fr/telecoms/2019/03/les-sms-wi-fi-actives-chez-orange-107341
@cbrr
Désolé l'ami mais je connais cette news et elle précise que ça ne fonctionne que sur les dernières générations.
J'ai un iPhone 7+ et pour moi ça ne fonctionne que depuis cette semaine.
Effectivement j'ai eu ce problème, c'était vraiment très très pénible !
L'article original dit surtout que Google à répondu dans l'heure et a comblé la faille en 3 jours, alors qu'Apple a mis un mois à colmater la brèche... :-/
Et ceux qui ont des iDevices incompatibles iOS 13 ?
Tu pries pour une éventuelle mise à jour d'iOS qui comble cette faille ou tu rachètes un nouvel iBidule...
Avec AdGuard que je viens de découvrir pour remplacer uBlock incompatible avec safari, plus aucunes pub menaçante :D
Il suffit de mettre en liste blanche les sites que l’on souhaite
Mettre un VPN et c’est bon
Déjà eu souvent sur divers sites. Ça renvoyait sur « gagner un iPhone pour 1€ » et autre. Obligé de fermer la page à chaque fois
J’ai eu ça récemment avec des redirections vers de fausses mises à jour Flash, à partir de différentes sites.
Mes parents ont ce problème avec Ouest France sur un iPad 2, du coup j'imagine que le problème ne sera jamais réglé...
C'est très chiant et ça continue sur d'autres sites grand public. Je trouve étrange que Apple ne réagisse pas plus vite en mettant à jour des protections en temps réel sur mac os, iOS. Et sinon, depuis Firefox et Chrome, il ne me semble pas avoir connu ce genre de "pop up de la mort", je me trompe ?
Ce n'est peut-être pas exactement le problème décrit, mais ça me fait ça dans le forum AVS, avec Safari 13.0.1. https://www.avsforum.com/forum/index.php
Exact j'ai eu ce problèmes sur divers site tels que Macg, Mac4ever entre autre.
Pour ma part, depuis avoir découvert un malware dans le cache de safari.
J'ai activé les outils de développement et je vide le cache régulièrement.
J'utilise Firefox partout. Ordi, tablette, téléphone.
Sur iOS, il suffit de régler les paramètre de la protection contre le pistage à "strict" pour effacer les publicités. Sinon, sur Android, on peut installer uBlock Origin, comme sur l'ordi.
J’ai ces ennuis depuis 2-3 semaines; je suis sous 10.12.6 et safari 12.1.2
J’avais alors une proposition de D/L flash.
Maintenant, c’est de l’anti virus qu’on me propose, pire !
Depuis macg (sic), ouest-france , motorsport, engadget et une foultitude d’autres url, je me retrouve sans rien faire avec un maccleaner.pkg, dans le dossier téléchargement, trop fort !
J’ai dû passer quelques fois par command option esc pour quitter safari.
J’ai eu beau vider les caches, virer les cookies et passer un coup d’onyx, cela revient.
Bitdefender version gratuite ne voit rien d’anormal.
Je pensais que la maj securité de hier aurait éradiqué le problème, tout à l’heure depuis ouest torchon, bingo on me D/L direct cette saloperie de maccleaner; du coup je me fends d’un commentaire, merci MacG pour ce !
Essayez l'antimalware de MalwareBytes (la version gratuite est suffisante pour un nettoyage ponctuel)
Attention, la dernière version de MalwareBytes ne gère pas tout (elle ne vaut vraiment plus l'ancienne version...) préférez le scan antivirus gratuit d'Intego (sur l'App Store). Mais attention cela ne regèlera PAS votre problème puisque c'est juste du curatif pas du préventif. Si vous voulez aller plus loin, il faudrait voir si la version payante permet de réellement arrêter l'accès aux sites malveillant en live.
Dans le cas de skilopt, je pense qu'il faut une passe de curatif (pour nettoyer ce qui a pu s'installer sur son Mac) puis du préventif en installant Safari 13 (si il est victime de la faille de WebKit)