Un ricercatore esperto nella sicurezza ha trovato un nuovo modo basato su CSS per bloccare e riavviare qualsiasi iPhone con solo poche righe di codice.
Sabri Haddouche ha twittato la la sua recente scoperta e prova dell’attacco tramite web per ci vogliono solo 15 righe di codice che arrestano e riavviano un iPhone o iPad. Lo stesso attacco su MacOS può portare al blocco di Safari all’apertura del link.
Il codice sfrutta una debolezza del motore di rendering web di iOS WebKit, che Apple impone a tutte le applicazioni e ai browser, Haddouche ha spiegato che annidare una grande quantità di elementi, come tag, all’interno di una proprietà filtro dello sfondo in CSS può portare a utilizzare tutte le risorse del dispositivo e causare un kernel panic, che arresta e riavvia il sistema operativo per evitare danni.
Ciò significa che chiunque invia un link malevolo tramite Facebook o Twitter, può bloccare e riavviare a distanza un dispositivo iOs.
I test dell’exploit sul più recente software mobile iOS 11.4.1 confermano il blocco e riavvio del telefono. Thomas Reed, direttore di Mac & Mobile presso la società di sicurezza Malwarebytes, ha confermato che anche la più recente versione beta di iOS 12 si è bloccata nel testare il codice in oggetto.
Alcuni fortunati utenti i cui dispositivi non si arrestano per via del codice anomalo possono, invece, notare un riavvio dell’interfaccia utente.
Per chi fosse curioso di capire come funziona, senza necessariamente testare l’arresto e il riavvio del proprio dispositivo, ecco qualche informazione sul codice che causa il crash .
La buona notizia è che, seppure fastidioso come attacco, non può essere utilizzato per eseguire codice dannoso sul dispositivo, ha affermato il ricercatore, il che significa che non può essere eseguito malware e che i dati non possono essere rubati utilizzando questo attacco. Non esiste, però, un modo semplice per impedire che l’attacco funzioni. Un click su un link trappola ricevuto in un messaggio o l’apertura di un messaggio di posta elettronica in HTML può bloccare immediatamente il dispositivo.
Haddouche ha contattato Apple in merito all’attacco, e l’azienda afferma che sta studiando il problema, ma non ha ancora espresso commenti ufficiali.
L’evoluzione che porta dalla SEO alla GEO introduce un modello di ricerca centrato sulle domande,…
Genesis Mission promette di raddoppiare la produttività scientifica americana entro un decennio attraverso l'intelligenza artificiale,…
SmartFAB ha vinto l’EIT Innovation Award 2025, la sua soluzione trasforma le fabbriche con un…
Dagli studi RAI, BlueIT presenta AI for Humans: un viaggio nella parte più umana dell’intelligenza…
Gli EIT Innovation Awards 2025 celebrano la comunità degli Innovatori europei, dagli imprenditori alle università,…
Scopri gli smartphone più avanzati con 5G e IA, pronti per il futuro. Guida alla…
Via Italia 50, 20900 Monza (MB) - C.F. e Partita IVA: 03339380135
Reg. Trib. Milano n. 409 del 21/7/2011 - ROC n. 21424 del 3/8/2011