Исследователи безопасности нашли новый способ взламывать смартфоны Apple, вызывая их перезапуск. Для этого достаточно небольшого скрипта, пишет TechCrunch.
15 строк кода, ссылку на которые с комментарием «Если вы нажмёте, я не виноват» опубликовал исследователь безопасности Сабри Хаддуш, могут вызвать зависание или перезагрузку iPhone и iPad. У пользователей macOS при открытии ссылки будет «притормаживать» Safari.
How to force restart any iOS device with just CSS? 💣
— Sabri (@pwnsdx) 15 сентября 2018 г.
Source: https://t.co/Ib6dBDUOhn
IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK): https://t.co/4Ql8uDYvY3
Код эксплуатирует уязвимость движка для отображения веб-страниц WebKit, который, по словам Apple, используется всеми приложениями и браузерами. Разместив огромное число элементов, например тегов <div>, внутри свойства backdrop-filter в CSS, можно исчерпать все ресурсы устройства. Это способно привести к сбою ядра или перезагрузке операционной системы для предотвращения ущерба.
Как отмечает Хаддуш, угрозу может нести всё, что обрабатывает HTML на iOS-устройствах. Сбой может вызвать любое сообщение со ссылкой на код, отправленное по электронной почте, в Facebook или Twitter, или же любая содержащая его страница в сети. Узнать, как она работает, не открывая её, можно на GitHub Gist.
Хорошая новость в том, что такую атаку нельзя использовать для запуска вредоносного кода и кражи данных. В пятницу Хаддуш связался по поводу атаки с Apple и компания уже начала расследование.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.