Исследователь нашёл уязвимость, из-за которой устройства Apple перезагружаются
Исследователь обнаружил уязвимость, из-за которой любая модель iPhone и iPad при попытке обработать несколько строк CSS-кода начинает зависать и перезагружаться.
Sabri Haddouche указал источник ошибки, из-за которой виснут и перезагружаются «яблочные» девайсы: проблема находится в CSS коде. Ошибка из-за 15 строк убийственного кода сайта проявляется в любом браузере по причине работы всех этих iOS-приложений на технологии WebKit. Именно этот движок позволяет отображать веб-страницы и рендерить конкретно HTML и CSS.
Ссылка на сайт-убийцу следующая. Владельцам устройств Apple не стоит переходить по ней, так как есть риск, что девайс просто зависнет:
https://clck.ru/EN7nH
Автор находки также поделился исходным кодом уязвимости. Sabri пояснил, что вложенная тонна, например, блочных элементов <div>, внутри свойства фильтра фона в CSS — могут вызывать панику ядра, которое отключается и перезагружает операционную систему для предотвращения критических последствий:
How to force restart any iOS device with just CSS? ?
— Sabri (@pwnsdx) September 15, 2018
Source: https://t.co/Ib6dBDUOhn
IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3
Отмечается, что ошибка также наблюдается и на компьютерах Mac: она проявляется только в том случае, если CSS код выполняется в браузере Safari. Компьютер просто подвиснет и потребуется перезагрузка или закрытие вкладки браузера. Как стало известно, компания Apple уже знает о проблеме и работает над её устранением. Sabri утверждает, что такая уязвимость не может использоваться злоумышленниками — кража личных данных пользователя или загрузка вредоносного ПО в таком случае являются невозможными.
Реакция iPhone и iPad на обработку CSS кода сайта Rawgit
Уязвимость присутствует и в iOS 11.4.1, и в бета-версии iOS 12:
Реакция Apple Watch
Зависают и Apple Watch: сначала умные часы начинают подлагивать, а после восстанавливаются в режим спокойной плавной работы и внезапно перезагружаются:
Also looks like watchOS 5 is susceptible. pic.twitter.com/Mam8uTyuye
— Robert Petersen (@Sonikku_a2) September 15, 2018
Напомним, в конце лета текущего года была обнаружена уязвимость в онлайн-магазине Apple. Злоумышленники методом бесконечного подбора могли украсть PIN-коды 77 миллионов абонентов T-Mobile. Представители оператора были уверены, что злоумышленники могли успеть воспользоваться проблемой безопасности сайта, поэтому порекомендовали своим абонентам изменить PIN-код во избежание возможных проблем в дальнейшем.
