Une nouvelle attaque Web basée sur CSS se bloque et redémarre votre iPhone - TechCrunch

Un chercheur en sécurité a trouvé une nouvelle façon de planter et de redémarrer tout iPhone – avec seulement quelques lignes de code.

Sabri Haddouche a tweeté une preuve de concept page Web avec seulement 15 lignes de code qui, si elles sont visitées, se bloquent et redémarrent un iPhone ou un iPad. Les utilisateurs de macOS peuvent également voir Safari se figer lors de l'ouverture du lien.

Le code exploite une faiblesse du moteur de rendu Web iOS WebKit, dont Apple Haddouche a déclaré à TechCrunch que toutes les applications et tous les navigateurs sont nécessaires. Il a expliqué que l'imbrication d'une tonne d'éléments – tels que

tags – dans une propriété de filtre backdrop en CSS, vous pouvez utiliser toutes les ressources du périphérique et provoquer une panique du noyau, qui ferme et redémarre le système d'exploitation pour éviter les dommages.

«Tout ce qui rend HTML sur iOS est affecté», a-t-il déclaré. Cela signifie que toute personne vous envoyant un lien sur Facebook ou Twitter, ou si une page Web que vous visitez comprend le code, ou quiconque vous envoie un courrier électronique, at-il averti.

TechCrunch a testé l'exploit s'exécutant sur le dernier logiciel mobile iOS 11.4.1, et a confirmé qu'il se bloque et redémarre le téléphone. Thomas Reed, directeur de Mac & Mobile de la société de sécurité Malwarebytes a confirmé que la dernière version d'iOS 12 bêta a également été bloquée lors de l'utilisation du lien.

Les chanceux dont les appareils ne sont pas bloqués peuvent simplement voir leur appareil redémarrer (ou «respracter») l’interface utilisateur à la place.

Pour ceux qui sont curieux, vous pouvez voir comment cela fonctionne sans avoir à exécuter le code induisant un crash.

La bonne nouvelle est que, même si cette attaque est agaçante, elle ne peut pas être utilisée pour exécuter du code malveillant. Mais il n’ya pas de moyen facile d’empêcher l’attaque de fonctionner. Un clic sur un lien piégé envoyé dans un message ou ouvrant un e-mail HTML qui affiche le code peut provoquer l’écrasement instantané du périphérique.

Haddouche a contacté Apple vendredi au sujet de l'attaque, qui ferait l'objet d'une enquête. Un porte-parole n'a pas immédiatement répondu à une demande de commentaire.

Leave a comment

Send a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.