Sabri Haddouche biztonsági kutató új módszert talált az iPhone-tulajdonosok ártására. Ezt az információt az övén tette közzé hivatalos oldal у Twitter.
Az iPhone új sebezhetősége aláássa a tekintélyt Apple
Sabri maga szerint az új biztonsági rést CSS-ben írták, és mindössze 15 sornyi kódot tartalmaz. Ha a felhasználó rákattint egy rosszindulatú kódot tartalmazó hivatkozásra, az okostelefon meghibásodását és az azt követő újraindítást okozza. A sérülékenység iPhone, iPad és MacBook eszközöket érint.
Olvassa el még: Az iOS 12 szeptember 17-én jelenik meg
„A rosszindulatú kód kihasználja a WebKit renderelőmotor egy biztonsági rését. Egyébként ezt a motort használják Apple minden alkalmazásban és böngészőben” – mondta Sabri.
https://twitter.com/pwnsdx/status/1040944750973595649
Az exploit lényege, hogy a kód nagyszámú felesleges elemet, például címkét generál . A generálás a CSS-sablon háttérszűrőjében történik, amely a grafikus effektusokért felelős. Ez lehetővé teszi az eszköz teljes számítási teljesítményének használatát, és összeomlik az operációs rendszer kernelje. Ezeknek a manipulációknak az eredménye az operációs rendszer védelmi reakciója az eszköz újraindítása formájában.
Olvassa el még: Samsung és a Google egy RCS nevű fejlett üzenetküldő szolgáltatást fejleszt
"Az iOS rendszerben lévő HTML-kódok változhatnak" - mondta Sabri Haddush. Ez azt jelenti, hogy minden rosszindulatú kódot tartalmazó weboldal a fent felsorolt következményekkel jár.
A TechCrunch online kiadvány tesztelte az exploit működését. Ennek eredményeként kiderült, hogy működik az iOS 11.4.1-es és 12-es verzióján.
A jó hír az, hogy a kód nem futhat a háttérben, és nem lophatja el a felhasználói adatokat.
Sabri felvette a kapcsolatot Apple a sebezhetőségről. A gyártó részéről azonban még nem érkezett hivatalos megjegyzés ezzel kapcsolatban.
Forrás: TechCrunch