Een veiligheidsonderzoeker heeft een nieuwe manier gevonden om iPhones te laten crashen en herstarten. Daarvoor had hij slechts een paar regels code nodig. De code werkt daarnaast voor iPads en MacBooks. In dat laatste geval loopt Safari vast, als een gebruiker de link opent.
Veiligheidsonderzoeker Sabri Haddouche ontdekte de fout in de Apple-software en schreef een paar reels code waarmee hij apparaten kan laten vastlopen en crashen. Daarvoor plaatste hij op Twitter een linkje waarop geklikt kan worden om het probleem te ondervinden.
How to force restart any iOS device with just CSS? đź’Ł
Source: https://t.co/Ib6dBDUOhn
IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3
— S (@pwnsdx) September 15, 2018
De code maakt gebruik van een kwetsbaarheid in de webrendering engine WebKit van iOS. Alle apps en browsers moeten die volgens TechCrunch gebruiken as ze op Apple-apparaten geĂŻnstalleerd willen kunnen worden. Door een boel verschillende elementen, waaronder <div>-tags, in een CSS-document te plaatsen, raakt een iDevice overladen en ontstaat er zogenaamde kernel panic. Het gevolg: het apparaat wordt afgesloten en opnieuw opgestart om schade te voorkomen.
Geen malware
Volgens Haddouche kan iedereen gebruik maken van het probleem. “Alles dat HTML genereert op iOS ondervindt hier invloed van”, aldus de onderzoeker. Dat betekent dat als iemand op Facebook of Twitter een linkje verstuurt, of je een webpagina bezoekt met zoveel elementen, je er meteen gevolgen van ondervindt.
Het goede nieuws is dat er geen malware geplaatst kan worden middels deze aanval. Er kan dus geen data gestolen worden met deze aanval. Tegelijk is er geen manier om hier snel iets tegen te doen; welke link dan ook verzonden wordt, er kan zo’n aanval geplaatst worden. Apple onderzoekt de zaak.