Sabri Haddoucha podał na Twitterze link do strony internetowej, zawierającej napisany przez siebie 15-liniowy dowód poprawności (ang. proof of concept) ataku, wykorzystującego lukę w silniku WebKit przeglądarki internetowej Safari – jest to przeglądarka wbudowana w oprogramowanie systemowe urządzeń Apple.
How to force restart any iOS device with just CSS?
Source: https://t.co/Ib6dBDUOhn
IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3
— Sabri (@pwnsdx) 15 września 2018
Haddouche pokazał jak łatwo doprowadzić do awarii przeglądarki Safarii. Wystarczy dodać w kodzie CSS właściwość background-filter do co najmniej 3 tysięcy zagnieżdżonych w sobie elementów DIV. Ponieważ w procesie renderowania strony silnik WebKit zużywa zasoby, to po ich wyczerpaniu iOS się zawiesza i urządzenie może zostać awaryjnie zamknięte, po czym następuje restart.
— Sabri (@pwnsdx) 15 września 2018
Dobrą wiadomością jest to, że wykrytej luki nie można wykorzystać do kradzieży danych z urządzeń Apple’a. Jednakże złośliwy napastnik może ją wykorzystać w ataku typu odmowa-usługi, w efekcie zatrzymując urządzenie i uniemożliwiając jakąkolwiek pracę.
Z pewnością wielu użytkowników potraktuje problem jako poważny. Wyłączanie i ponowne włączanie urządzenia, z czym wiąże się kilkusekundowa zwłoka i konieczność podania hasła, może stanowić dla właścicieli urządzeń z iOS znaczne utrudnienie.
Raporty wykazują, że atak jest skuteczny w przypadku różnych wersji systemu iOS, również wersji beta iOS 12. Jednak potencjalnie zagrożeni są nie tylko użytkownicy iOS. W sieci można znaleźć filmik z którego wynika, że Apple Watch jest również podatny na ataki.
Haddouche poinformował ponadto ZDNet, że zagrożona – choć nie tak poważnie – może być również przeglądarka Safari w systemie MacOS. W tym przypadku spreparowana strona zawiesi przeglądarkę jedynie na minutę. Po tym czasie będzie można zamknąć kartę z stroną zawierającą złośliwy kod. Żeby atak był w pełni skuteczny na MacOS, należałoby jeszcze dodać kawałek kodu JavaScript.
Ponieważ luka znajduje się w WebKit, silniku renderującym wykorzystywanym również w aplikacjach i przeglądarkach innych producentów, prawdopodobnie wiele innych aplikacji i przeglądarek jest podatnych na zagrożenie. Haddouche poinformował Apple o wykrytej luce w zabezpieczeniach. Należy wierzyć, że firma zbada sprawę i szybko udostępni stosowną łatkę.
„Na razie nie pojawiła się żadna łata chroniąca przed atakiem. Zalecamy ostrożność, i unikanie klikania w podejrzane linki do stron www. Na szczęście, w tym przypadku luka nie zagraża Twojej prywatności i kradzieży danych.” komentuje Błażej Pilecki, Bitdefender Product Manager z firmy Marken.
Źródło: Bitdefender