iPhone i Mac podatne na atak zwykłym CSS+HTML

Przemysław Kocięcki
iPhone i Mac podatne na atak zwykłym CSS+HTML

W sieci pojawiły się informacje o nowej podatności urządzeń Apple. Wystarczy odwiedzić stronę z odpowiednio przygotowanym fragmentem kodu CSS i HTML by doprowadzić do zawieszenia lub restartu iPhona i Maca. Podatność nie dotyczy użytkowników systemu Linux i Windows.

Podatność odnalazł Sabri Haddouche z Wire. Za lukę odpowiedzialny jest silnik WebKit wykorzystywany we wszystkich przeglądarkach w urządzeniach z iOS. Cała procedura sprowadza się do odpowiedniego wykorzystania właściwości CSS -webkit-backdrop-filter w kodzie strony. Sabri po zagnieżdżeniu divów z tymi właściwościami był w stanie doprowadzić urządzenia Apple odwiedzające stronę do przeciążenia spowodowanego całkowitym zużyciem zasobów graficznych. Konsekwencją wejścia na odpowiednio przygotowaną stronę jest zawieszenie pracy urządzenia (w wypadku Maca) oraz restart UI lub pełny restart (w wypadku iPhona). Urządzenie nie musi mieć włączonej obsługi JavaScriptu by paść ofiarą ataku.

Tak opisany atak nie wygląda więc na groźny i nie naraża użytkownika na utratę danych. Sabri był jednak w stanie wykonać jeszcze inny rodzaj ataku wykorzystujący wspomnianą podatność oraz kod CSS+HTML, tym razem połączony z JavaScript. Badacz nie chciał jednak zdradzić szczegółów ze względów bezpieczeństwa - wspomniał jedynie, że atak utrzymuje się między restartami urządzenia, przez co może doprowadzić do zapętlenia się cyklu restartowania i zamrażania.

W tej chwili nie istnieje żaden sposób ochrony przed atakiem, poza unikaniem klikania w niesprawdzone linki. Można mieć jedynie nadzieję, że Apple szybko załata podatność.

Zdjęcie: pixabay.com

Blog Comments powered by Disqus.