Un nuovo attacco web basato su CSS può bloccare e riavviare l’iPhone. Secondo Sabri Haddouche ci vogliono solo 15 righe di codice
Un ricercatore esperto nella sicurezza ha trovato un nuovo modo basato su CSS per bloccare e riavviare qualsiasi iPhone con solo poche righe di codice.
L’attacco basato su CSS può bloccare e riavviare l’iPhone
Sabri Haddouche ha twittato la la sua recente scoperta e prova dell’attacco tramite web per ci vogliono solo 15 righe di codice che arrestano e riavviano un iPhone o iPad. Lo stesso attacco su MacOS può portare al blocco di Safari all’apertura del link.
Il codice sfrutta una debolezza del motore di rendering web di iOS WebKit, che Apple impone a tutte le applicazioni e ai browser, Haddouche ha spiegato che annidare una grande quantità di elementi, come tag, all’interno di una proprietà filtro dello sfondo in CSS può portare a utilizzare tutte le risorse del dispositivo e causare un kernel panic, che arresta e riavvia il sistema operativo per evitare danni.
Ciò significa che chiunque invia un link malevolo tramite Facebook o Twitter, può bloccare e riavviare a distanza un dispositivo iOs.
How to force restart any iOS device with just CSS? 💣
Source: https://t.co/Ib6dBDUOhn
IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3
— S (@pwnsdx) September 15, 2018
I test dell’exploit sul più recente software mobile iOS 11.4.1 confermano il blocco e riavvio del telefono. Thomas Reed, direttore di Mac & Mobile presso la società di sicurezza Malwarebytes, ha confermato che anche la più recente versione beta di iOS 12 si è bloccata nel testare il codice in oggetto.
Alcuni fortunati utenti i cui dispositivi non si arrestano per via del codice anomalo possono, invece, notare un riavvio dell’interfaccia utente.
Per chi fosse curioso di capire come funziona, senza necessariamente testare l’arresto e il riavvio del proprio dispositivo, ecco qualche informazione sul codice che causa il crash .
La buona notizia è che, seppure fastidioso come attacco, non può essere utilizzato per eseguire codice dannoso sul dispositivo, ha affermato il ricercatore, il che significa che non può essere eseguito malware e che i dati non possono essere rubati utilizzando questo attacco. Non esiste, però, un modo semplice per impedire che l’attacco funzioni. Un click su un link trappola ricevuto in un messaggio o l’apertura di un messaggio di posta elettronica in HTML può bloccare immediatamente il dispositivo.
Haddouche ha contattato Apple in merito all’attacco, e l’azienda afferma che sta studiando il problema, ma non ha ancora espresso commenti ufficiali.
Francesco Marino
Giornalista esperto di tecnologia, da oltre 20 anni si occupa di innovazione, mondo digitale, hardware, software e social. È stato direttore editoriale della rivista scientifica Newton e ha lavorato per 11 anni al Gruppo Sole 24 Ore. È il fondatore e direttore responsabile di Digitalic
