Il bug si basa, semplicemente, sui codici HTML e CSS delle pagine web: può bloccare le pagine Safari anche sui Mac. Sconforta la facilità con cui è possibile attaccare un sistema operativo iOS
Quando mancano pochi minuti al rilascio di iOS 12, e pochi giorni dopo il lancio dei nuovi iPhone, un ricercatore di sicurezza informatica, Sabri Haddouche (@pwnsdx su Twitter), ha rilasciato prove di un bug che sfrutta un piccolo frammento di codice HTML e CSS delle pagine web per mandare in crash gli iPhone e iPad, e riavviarli. La stessa stringa di codice che causa questo bug può anche bloccare le pagine Safari su Mac. Sabri Haddouche ha tweettato, sabato scorso, la URL con la pagina web di prova (detta proof-of-concept) che blocca i dispositivi iOS. Haddouche ha anche pubblicato il codice sorgente del bug su GitHub , per mostrare nel dettaglio il difetto che causa il riavvio forzato. Alcune prove hanno dimostrato che si può replicare il difetto e forzare con successo il riavvio di un iPhone 7 basato su iOS 11.4.1, e un iPhone 7 Plus basato sul più recente iOS 12 beta. Haddouche, sempre su Twitter, ha affermato che il bug interessa tutti i dispositivi con sistema operativo iOS 9 o superiore. Il bug forza la pagina web a utilizzare tutte le risorse disponibili per provocare un surplus di lavoro del kernel sul sistema, causando lo spegnimento dello smartphone per prevenire danni all’elettronica. Il codice del bug, in realtà, è molto semplice: basato su HTML e CSS, contiene numerosi tag. Le linee CSS hackerate (utilizzate per la grafica e design delle pagine web) indicano al browser di applicare un effetto sfocato a ogni elemento della pagina, sovraccaricando il renderer WebKit. RIsultato: crash e riavvio. Per imbattersi in questo bug è necessario visitare una pagina web che lo contiene, oppure aprire una e-mail con questo codice HTML incorporato. Perciò, la probabilità di riscontrare danni a causa di questo bug è veramente bassa. Ma il punto è un altro: linguaggi informatici banali come CSS, o Javascript, non dovrebbero mai essere in grado di causare possibili danni ai sistemi operativi, come iOS. A Cupertino sono avvertiti.
lastampa.it