Новая CSS-атака приводит к сбоям в ядре iOS и перезапуску iPhone

Исследователи безопасности нашли новый способ взламывать смартфоны Apple, вызывая их перезапуск. Для этого достаточно небольшого скрипта, пишет TechCrunch.

15 строк кода, ссылку на которые с комментарием «Если вы нажмёте, я не виноват» опубликовал исследователь безопасности Сабри Хаддуш, могут вызвать зависание или перезагрузку iPhone и iPad. У пользователей macOS при открытии ссылки будет «притормаживать» Safari.

How to force restart any iOS device with just CSS? 💣

Source: https://t.co/Ib6dBDUOhn

IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK): https://t.co/4Ql8uDYvY3

— Sabri (@pwnsdx) 15 сентября 2018 г.

Код эксплуатирует уязвимость движка для отображения веб-страниц WebKit, который, по словам Apple, используется всеми приложениями и браузерами. Разместив огромное число элементов, например тегов <div>, внутри свойства backdrop-filter в CSS, можно исчерпать все ресурсы устройства. Это способно привести к сбою ядра или перезагрузке операционной системы для предотвращения ущерба.

Как отмечает Хаддуш, угрозу может нести всё, что обрабатывает HTML на iOS-устройствах. Сбой может вызвать любое сообщение со ссылкой на код, отправленное по электронной почте, в Facebook или Twitter, или же любая содержащая его страница в сети. Узнать, как она работает, не открывая её, можно на GitHub Gist.

Хорошая новость в том, что такую атаку нельзя использовать для запуска вредоносного кода и кражи данных. В пятницу Хаддуш связался по поводу атаки с Apple и компания уже начала расследование.