Mindannyian jól tudjuk, hogy az Apple technológiai óriásnak számos eljárást felül kell vizsgálnia operációs rendszerei biztonságát illetően. Annak ellenére, hogy nagyon gyorsan reagálnak bármilyen biztonsági incidens javítására vagy sem, a cégnek „be kell zárnia” a hibákat tartalmazó dobozt. A legfrissebb jelentések szerint azonban ez az újonnan felfedezett hiba könnyen összeomolhatja vagy lefagyhatja iPhone és Mac számítógépeit.
Vigyázz! Ez a weboldal összeomolhatja iPhone-ját
Az Apple technológiai óriáscégnek számos eljárást felül kell vizsgálnia operációs rendszerei biztonságát illetően. Annak ellenére, hogy nagyon gyorsan reagálnak bármilyen biztonsági incidens javítására vagy sem, a cégnek „be kell zárnia” a hibákat tartalmazó dobozt.
Egy új támadást fedeztek fel, amely az iOS újraindítását és a macOS lefagyását okozza, egyszerűen csak meglátogat egy bizonyos CSS- és HTML-kódot tartalmazó weboldalt. Ez a hiba nem érinti a Windows és Linux felhasználókat.
Az iOS-t és a macOS-t érintő hiba
Ezt az új támadást Sabri Haddouche, a Wire biztonsági kutatója fedezte fel, aki olyan módszert tudott kialakítani, amellyel gyorsan ki lehet használni egy Apple-eszköz funkcióit úgy, hogy az ne lépjen fel egy weboldalra.
Haddouche szerint „a támadás a CSS tulajdonság -WebKit-backdrop-filter – gyengeségét használja fel”. Az ehhez a tulajdonsághoz igazított div-ek használatával gyorsan felhasználhatjuk az összes grafikus funkciót, és összeomolhatjuk vagy lefagyhatjuk az operációs rendszert.
A támadáshoz nem szükséges a Javascript aktiválása, így a Mailben is működik. A macOS rendszerben a lefagyás a felhasználói felületen történik. iOS rendszeren a mechanizmus hiánya miatt az eszköz újraindul.
Hogyan kényszeríthet újra minden iOS-eszközt csak CSS-sel? 💣
Forrás: https://t.co/Ib6dBDUOhn
HA KI AKAROD PRÓBÁLNI (NE HIDAZZ, HA KATTINTSZ): https://t.co/4Ql8uDYvY3
– Sabri (@pwnsdx) 2018. szeptember 15
Ez a támadás az iOS összes böngészőjét, valamint a macOS-en a Safarit és a Mail-t érinti, mivel mindegyik a WebKit renderelőmotort használja. Mint ismeretes, a harmadik féltől származó böngészőket ez érinti, mert az Apple technológiai óriáscég nem engedélyezi másik renderelőmotor használatát.
Az iOS használt verziójától függően ez eltérő eredményt okozhat. Előfordulhat, hogy az eszköz csak a felhasználói felületet indítja újra, vagy pánik kernelt okozhat, ami az eszköz újraindulását idézi elő. A vizsgáló iOS 12-vel futtatta le a teszteket, és az eszközt teljesen újraindították, de az iOS 11.4.1-en ez csak új benyomást keltett.
A támadás egyszerűen működik, ha felkeres egy weboldalt
Amikor a felhasználó felkeres egy olyan oldalt, amely ezt a speciálisan kialakított CSS- és HTML-kódot tartalmazza, az iOS verziójától függően az eszköz gyorsan felhasználja az összes elérhető funkciót.
A Mac felhasználók számára ez a jól ismert Safari böngésző munkamenetet automatikusan elindítja és lefagyja a Macet.
Sajnos jelenleg nincs mód az ilyen típusú támadások enyhítésére. Alapvetően a felhasználónak ügyelnie kell arra, hogy hova és milyen oldalakon kattint a linkekre, ne kattintson a véletlenszerű hivatkozásokra, amíg az Apple technológiai óriás ki nem fejleszti és nem indítja el a javítást.
Azok számára, akik szeretnék látni a támadást okozó CSS-t és HTML-t, a nyomozó közzétette a GitHub-oldalukon. Csak óvatosan a linkre kattintva (Kattintson ide az iPhone vagy Mac PC összeomlásához), mert egyszerűen gyorsan lefagyasztja az iOS-t, vagy problémákat okoz a Macen.
Szóval, mit gondolsz erről? Egyszerűen ossza meg minden véleményét és gondolatát az alábbi megjegyzés részben.
