Un ricercatore esperto nella sicurezza ha trovato un nuovo modo basato su CSS per bloccare e riavviare qualsiasi iPhone con solo poche righe di codice.
Sabri Haddouche ha twittato la la sua recente scoperta e prova dell’attacco tramite web per ci vogliono solo 15 righe di codice che arrestano e riavviano un iPhone o iPad. Lo stesso attacco su MacOS può portare al blocco di Safari all’apertura del link.
Il codice sfrutta una debolezza del motore di rendering web di iOS WebKit, che Apple impone a tutte le applicazioni e ai browser, Haddouche ha spiegato che annidare una grande quantità di elementi, come tag, all’interno di una proprietà filtro dello sfondo in CSS può portare a utilizzare tutte le risorse del dispositivo e causare un kernel panic, che arresta e riavvia il sistema operativo per evitare danni.
Ciò significa che chiunque invia un link malevolo tramite Facebook o Twitter, può bloccare e riavviare a distanza un dispositivo iOs.
I test dell’exploit sul più recente software mobile iOS 11.4.1 confermano il blocco e riavvio del telefono. Thomas Reed, direttore di Mac & Mobile presso la società di sicurezza Malwarebytes, ha confermato che anche la più recente versione beta di iOS 12 si è bloccata nel testare il codice in oggetto.
Alcuni fortunati utenti i cui dispositivi non si arrestano per via del codice anomalo possono, invece, notare un riavvio dell’interfaccia utente.
Per chi fosse curioso di capire come funziona, senza necessariamente testare l’arresto e il riavvio del proprio dispositivo, ecco qualche informazione sul codice che causa il crash .
La buona notizia è che, seppure fastidioso come attacco, non può essere utilizzato per eseguire codice dannoso sul dispositivo, ha affermato il ricercatore, il che significa che non può essere eseguito malware e che i dati non possono essere rubati utilizzando questo attacco. Non esiste, però, un modo semplice per impedire che l’attacco funzioni. Un click su un link trappola ricevuto in un messaggio o l’apertura di un messaggio di posta elettronica in HTML può bloccare immediatamente il dispositivo.
Haddouche ha contattato Apple in merito all’attacco, e l’azienda afferma che sta studiando il problema, ma non ha ancora espresso commenti ufficiali.
Google pubblica una metodologia “full-stack” per misurare quanto consuma un prompt di Google Gemini: energia,…
Scopri OpenAI o3 e o4-mini, i primi modelli AI che pensano con le immagini e…
Cinquina Nikon agli EISA Awards: Z 5 II, Z 50 II e tre obiettivi NIKKOR…
La startup Fable lancia Showrunner, una piattaforma di streaming innovativa dove gli utenti possono guardare…
GPT-5 è il nuovo modello di OpenAI: più intelligente, preciso e sicuro di GPT-4, con…
I sistemi di sicurezza domestica diventano intelligenti, autonomi e connessi. Scopri come l’IoT, l’AI e…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011