Дослідник безпеки Сабрі Хаддуш (Sabri Haddouche) знайшов новий спосіб нанести шкоду власникам iPhone. Цю інформацію він опублікував на своїй офіційній сторінці у Twitter.
Нова уразливість iPhone підриває авторитет Apple
Як заявляє сам Сабрі, нова уразливість написана на мові CSS і вміщує всього 15 рядків коду. Якщо користувач перейде за посиланням з шкідливим кодом, то це призведе до збоїв в роботі смартфона і його подальшого перезавантаження. Уразливість діє на пристроях iPhone, iPad і MacBook.
Читайте також: iOS 12 вийде 17 вересня
“Шкідливий код використовує уразливість у движку рендерінга WebKit. До слова, даний движок використовується Apple у всіх додатках і браузерах” – повідомив Сабрі.
https://twitter.com/pwnsdx/status/1040944750973595649
Суть експлойта полягає в тому, що код генерує велику кількість непотрібних елементів, таких як тег <div>. Генерація відбувається в CSS шаблоні backdrop-filter, який відповідає за графічні ефекти. Це дозволяє використовувати всю обчислювальну потужність пристрою і викликає збій в ядрі ОС. Наслідком даних маніпуляцій стає захисна реакція ОС у вигляді перезавантаження пристрою.
Читайте також: Samsung та Google розробляють передову службу обміну повідомленнями RCS
“Будь-який HTML код в iOS піддається змінам” – повідомив Сабрі Хаддуш. Це означає, що будь-яка веб-сторінка з шкідливим кодом призведе до перерахованих вище наслідків.
Інтернет-видання TechCrunch перевірило працездатність експлойта. В результаті з’ясувалося, що він працює на iOS версії 11.4.1 і 12.
Доброю новиною стало те, що код не може працювати у фоновому режимі і красти користувацькі дані.
Сабрі зв’язався з Apple з приводу уразливості. Однак офіційних коментарів виробника з цього приводу поки не надходило.
Джерело: techcrunch