Un nuovo attacco web basato su CSS può bloccare e riavviare l’iPhone

Un nuovo attacco web basato su CSS può bloccare e riavviare l’iPhone. Secondo Sabri Haddouche ci vogliono solo 15 righe di codice

Un ricercatore esperto nella sicurezza ha trovato un nuovo modo basato su CSS per bloccare e riavviare qualsiasi iPhone con solo poche righe di codice.

L’attacco basato su CSS può bloccare e riavviare l’iPhone

Sabri Haddouche ha twittato la la sua recente scoperta e prova dell’attacco tramite web per ci vogliono solo 15 righe di codice che arrestano e riavviano un iPhone o iPad. Lo stesso attacco su MacOS può portare al blocco di Safari all’apertura del link.

Il codice sfrutta una debolezza del motore di rendering web di iOS WebKit, che Apple impone a tutte le applicazioni e ai browser, Haddouche ha spiegato che annidare una grande quantità di elementi, come tag, all’interno di una proprietà filtro dello sfondo in CSS può portare a utilizzare tutte le risorse del dispositivo e causare un kernel panic, che arresta e riavvia il sistema operativo per evitare danni.

Ciò significa che chiunque invia un link malevolo tramite Facebook o Twitter, può bloccare e riavviare a distanza un dispositivo iOs.

I test dell’exploit sul più recente software mobile iOS 11.4.1 confermano il blocco e riavvio del telefono. Thomas Reed, direttore di Mac & Mobile presso la società di sicurezza Malwarebytes, ha confermato che anche la più recente versione beta di iOS 12 si è bloccata nel testare il codice in oggetto.

Alcuni fortunati utenti i cui dispositivi non si arrestano per via del codice anomalo possono, invece, notare un riavvio dell’interfaccia utente.

Per chi fosse curioso di capire come funziona, senza necessariamente testare l’arresto e il riavvio del proprio dispositivo, ecco qualche informazione sul codice che causa il crash .

La buona notizia è che, seppure fastidioso come attacco, non può essere utilizzato per eseguire codice dannoso sul dispositivo, ha affermato il ricercatore, il che significa che non può essere eseguito malware e che i dati non possono essere rubati utilizzando questo attacco. Non esiste, però, un modo semplice per impedire che l’attacco funzioni. Un click su un link trappola ricevuto in un messaggio o l’apertura di un messaggio di posta elettronica in HTML può bloccare immediatamente il dispositivo.

Haddouche ha contattato Apple in merito all’attacco, e l’azienda afferma che sta studiando il problema, ma non ha ancora espresso commenti ufficiali.


Un nuovo attacco web basato su CSS può bloccare e riavviare l’iPhone - Ultima modifica: 2018-09-18T06:55:24+00:00 da Francesco Marino

Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic

IQ Test Storage Intelligente

“Tecnologia per ripartire”

Iscriviti all'evento virtuale "Tecnologia per ripartire" che analizza i due aspetti fondamentali per la ripartenza: tecnologia ed economia, con la partecipazione straordinaria dell’economista Carlo Alberto Carnevale Maffè, professore di Strategia e imprenditoria della Bocconi, editorialista e commentatore TV.

Webinar

You have Successfully Subscribed!