חוקר האבטחה צברי הדוך מצא דרך חדשה לפגוע בבעלי אייפון. הוא פרסם את המידע הזה על שלו דף רשמי у Twitter.
פגיעות חדשה באייפון מערערת את הסמכות Apple
לדברי צברי עצמו, הפגיעות החדשה כתובה ב-CSS ומכילה רק 15 שורות קוד. אם המשתמש ילחץ על קישור עם קוד זדוני, זה יגרום לתקלה בסמארטפון ולאתחול שלו לאחר מכן. הפגיעות משפיעה על מכשירי iPhone, iPad ו-MacBook.
קרא גם: iOS 12 ישוחרר ב-17 בספטמבר
"הקוד הזדוני מנצל פגיעות במנוע העיבוד של WebKit. אגב, המנוע הזה משמש Apple בכל האפליקציות והדפדפנים", אמר צברי.
https://twitter.com/pwnsdx/status/1040944750973595649
המהות של הניצול היא שהקוד מייצר מספר רב של אלמנטים מיותרים, כמו תג . היצירה מתבצעת ב-backdrop-filter של תבנית CSS, שאחראי על אפקטים גרפיים. זה מאפשר להשתמש במלוא כוח המחשוב של המכשיר וגורם לקריסה בליבת מערכת ההפעלה. התוצאה של מניפולציות אלה היא תגובה הגנה של מערכת ההפעלה בצורה של אתחול מחדש של המכשיר.
קרא גם: Samsung וגוגל מפתחות שירות הודעות מתקדם בשם RCS
"כל קוד HTML ב-iOS נתון לשינויים", אמר סברי חדוש. המשמעות היא שכל דף אינטרנט עם קוד זדוני יוביל להשלכות המפורטות לעיל.
הפרסום המקוון TechCrunch בדק את הפונקציונליות של הניצול. כתוצאה מכך, התברר שהוא עובד על גרסאות iOS 11.4.1 ו-12.
החדשות הטובות הן שהקוד לא יכול לרוץ ברקע ולגנוב נתוני משתמש.
צברי יצר קשר Apple על פגיעות. עם זאת, עדיין לא היו הערות רשמיות מהיצרן בעניין זה.
מָקוֹר: TechCrunch