Tietoturvatutkija Sabri Haddouche löysi uuden tavan vahingoittaa iPhonen omistajia. Hän julkaisi nämä tiedot omallaan virallinen sivu у Twitter.
Uusi iPhonen haavoittuvuus heikentää auktoriteettia Apple
Kuten Sabri itse toteaa, uusi haavoittuvuus on kirjoitettu CSS:llä ja sisältää vain 15 koodiriviä. Jos käyttäjä napsauttaa linkkiä, jossa on haitallinen koodi, se aiheuttaa älypuhelimen toimintahäiriön ja sen seuraavan uudelleenkäynnistyksen. Haavoittuvuus vaikuttaa iPhone-, iPad- ja MacBook-laitteisiin.
Lue myös: iOS 12 julkaistaan 17. syyskuuta
"Haitallinen koodi hyödyntää WebKit-renderöintimoottorin haavoittuvuutta. Muuten, tätä moottoria käytetään Apple kaikissa sovelluksissa ja selaimissa", Sabri sanoi.
https://twitter.com/pwnsdx/status/1040944750973595649
Hyödynnyksen ydin on, että koodi luo suuren määrän tarpeettomia elementtejä, kuten tunnisteen . Luominen tapahtuu CSS-mallin taustasuodattimessa, joka vastaa graafisista tehosteista. Tämä mahdollistaa laitteen täyden laskentatehon käytön ja aiheuttaa kaatumisen käyttöjärjestelmän ytimeen. Näiden manipulaatioiden tulos on käyttöjärjestelmän suojaava vastaus laitteen uudelleenkäynnistyksen muodossa.
Lue myös: Samsung ja Google kehittävät edistynyttä viestintäpalvelua nimeltä RCS
"Kaikki iOS:n HTML-koodit voivat muuttua", Sabri Haddush sanoi. Tämä tarkoittaa, että mikä tahansa haitallista koodia sisältävä verkkosivu johtaa yllä lueteltuihin seurauksiin.
Verkkojulkaisu TechCrunch testasi hyväksikäytön toimivuutta. Tuloksena kävi ilmi, että se toimii iOS-versioissa 11.4.1 ja 12.
Hyvä uutinen on, että koodi ei voi toimia taustalla ja varastaa käyttäjätietoja.
Sabri otti yhteyttä Apple haavoittuvuudesta. Valmistaja ei kuitenkaan ole vielä saanut virallisia kommentteja asiasta.
Dzherelo: TechCrunch