Un nuovo attacco web basato su CSS può bloccare e riavviare l’iPhone

Un nuovo attacco web basato su CSS può bloccare e riavviare l’iPhone. Secondo Sabri Haddouche ci vogliono solo 15 righe di codice


Un ricercatore esperto nella sicurezza ha trovato un nuovo modo basato su CSS per bloccare e riavviare qualsiasi iPhone con solo poche righe di codice.

L’attacco basato su CSS può bloccare e riavviare l’iPhone

Sabri Haddouche ha twittato la la sua recente scoperta e prova dell’attacco tramite web per ci vogliono solo 15 righe di codice che arrestano e riavviano un iPhone o iPad. Lo stesso attacco su MacOS può portare al blocco di Safari all’apertura del link.

Il codice sfrutta una debolezza del motore di rendering web di iOS WebKit, che Apple impone a tutte le applicazioni e ai browser, Haddouche ha spiegato che annidare una grande quantità di elementi, come tag, all’interno di una proprietà filtro dello sfondo in CSS può portare a utilizzare tutte le risorse del dispositivo e causare un kernel panic, che arresta e riavvia il sistema operativo per evitare danni.

Ciò significa che chiunque invia un link malevolo tramite Facebook o Twitter, può bloccare e riavviare a distanza un dispositivo iOs.

I test dell’exploit sul più recente software mobile iOS 11.4.1 confermano il blocco e riavvio del telefono. Thomas Reed, direttore di Mac & Mobile presso la società di sicurezza Malwarebytes, ha confermato che anche la più recente versione beta di iOS 12 si è bloccata nel testare il codice in oggetto.

Alcuni fortunati utenti i cui dispositivi non si arrestano per via del codice anomalo possono, invece, notare un riavvio dell’interfaccia utente.

Per chi fosse curioso di capire come funziona, senza necessariamente testare l’arresto e il riavvio del proprio dispositivo, ecco qualche informazione sul codice che causa il crash .

La buona notizia è che, seppure fastidioso come attacco, non può essere utilizzato per eseguire codice dannoso sul dispositivo, ha affermato il ricercatore, il che significa che non può essere eseguito malware e che i dati non possono essere rubati utilizzando questo attacco. Non esiste, però, un modo semplice per impedire che l’attacco funzioni. Un click su un link trappola ricevuto in un messaggio o l’apertura di un messaggio di posta elettronica in HTML può bloccare immediatamente il dispositivo.

Haddouche ha contattato Apple in merito all’attacco, e l’azienda afferma che sta studiando il problema, ma non ha ancora espresso commenti ufficiali.


Un nuovo attacco web basato su CSS può bloccare e riavviare l’iPhone - Ultima modifica: 2018-09-18T06:55:24+00:00 da Francesco Marino

Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic

e-book guida ecm
Il CFO e il CIO del futuro: governance, sostenibilità, fattori ESG e soluzioni software

Evento> Il CFO e il CIO del Futuro

Non perderti l’evento esclusivo per innovatori e leader aziendali Stratos Analytics, in collaborazione con Digitalic, è lieta di annunciare l'evento "Il CFO e il CIO del Futuro: governance, sostenibilità, fattori ESG e soluzioni software", che si terrà il 26 settembre 2024 alle ore 15:30 in diretta streaming dagli studi TV.

You have Successfully Subscribed!