Un ricercatore di sicurezza ha individuato una vulnerabilità del WebKit di Safari che causa seri problemi di stabilità a iPhone e iPad
Basta una stringa di codice CSS per mandare in tilt iPhone e iPad. Lo ha scoperto Sabri Haddouche, ricercatore di sicurezza che su Twitter ha postato le stringhe che forzano un riavvio di iOS, apparentemente su qualsiasi dispositivo in commercio e con qualunque versione del sistema operativo. Il problema pare essere in una vulnerabilità di WebKit, il motore di rendering di default di Safari che, quando si trova a dover convertire del codice in HTML causa un freeze temporaneo con successivo reset automatico del terminale. Dopo ciò tutto torna alla normalità ma è evidente che chiunque potrebbe inserire tra le stringhe del misfatto ciò che vuole, per provocare fastidiosi malfunzionamenti agli utenti.
How to force restart any iOS device with just CSS? 💣
Source: https://t.co/Ib6dBDUOhn
IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3
— Sabri (@pwnsdx) 15 settembre 2018
Cosa succede
Secondo il ragazzo, una versione leggermente modificata del codice manderebbe in tilt pure macOS, allargando così la fetta di dispositivi Apple interessati. Il ricercatore ha affermato che Apple è a conoscenza del problema e che sta lavorando assiduamente per risolverlo. Quando? Non lo sappiamo ma visto che iOS 12 è già stato rilasciato una buona tempistica sarebbe quella di inserire una correzione al bug nel primo minor update, iOS 12.0.1 oppure 12.1, a seconda delle strategie della Mela. C’è da dire che l’hack provato e verificato da Sabri Haddouche non mette a rischio alcuna informazione personale perché non consente di entrare nel device per prelevare file e dati ma resta comunque una falla aperta da chiudere.
Non si tratta del primo caso di incidente da codice per Apple. L’anno scorso, l’invio di un semplice testo poteva mandare in crash gli iPhone, così come la ricezione di un carattere in lingua Telugu, capace di chiudere forzatamente l’app Messaggi o Mail e, in certe occasioni, l’intero sistema operativo.
[amazon_link asins=’B075LXNK24,B075LZ4VQW,B075LZGVKJ’ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’8b32208b-bb17-11e8-8573-070184c66660′]
