20/09/2018, 17:35

Cảnh báo: Iphone bị dừng và khởi động lại do lỗi web

Chỉ với một vài dòng mã có thể khiến iPad và iPhone bị dừng và khởi động lại và có thể khiến một máy tính Mac dừng hoạt động. Sabri Haddouche, một nhà nghiên cứu bảo mật tại Wire, đã tiết lộ bằng chứng về cách khai thác trang web chỉ sử dụng một vài dòng mã CSS & HTML tự tạo để khiến ...

Chỉ với một vài dòng mã có thể khiến iPad và iPhone bị dừng và khởi động lại và có thể khiến một máy tính Mac dừng hoạt động.

securitydaily Cảnh báo: Iphone bị dừng và khởi động lại do lỗi web

Sabri Haddouche, một nhà nghiên cứu bảo mật tại Wire, đã tiết lộ bằng chứng về cách khai thác trang web chỉ sử dụng một vài dòng mã CSS & HTML tự tạo để khiến iPhone bị dừng cà khởi động lại.

Truy cập trang web này không chỉ đơn giản khiến thiết bị của bạn dừng hoạt động mà còn gây ra reboot hệ thống.

Haddouche chứng minh bằng cách khai thác điểm yếu trong công cụ kiểm duyệt trang web của Apple có tên là WebKit, được sử dụng bởi tất cả các ứng dụng và trình duyệt web chạy trên hệ điều hành của Apple.

Vì Webkit không tải nhiều yếu tố đúng cách như thẻ “div” trong bộ lọc property nền ở CSS, Haddouche đã tạo ra một trang web có sử dụng tất cả các nguồn tài nguyên của thiết bị, gây ra việc các thiết bị của Apple như iPhone bị dừng và khởi động lại do kernel panic.

Dưới đây là video minh họa cho thấy một chiếc iPhone bị dừng và khởi động lại do tấn công web:

Tất cả các trình duyệt, bao gồm cả Microsoft Edge, Internet Explorer, và Safari trên iOS và Safari & Mail trên macOS, đều chứa lỗ hổng gây tấn công web dựa trên CSS, bởi vì tất cả chúng dều sử dụng công cụ kiểm duyệt WebKit.

Người dùng Windows và Linux không bị ảnh hưởng.

Chúng tôi đã thử tấn công nhiều trình duyệt web khác nhau, bao gồm cả Chrome, Safari, và Edge (trên MacBook Pro và iPhone X) và thấy lỗ hổng này vẫn tồn tại trên những phiên bản mới nhất của hệ điệu hành macOS và iOS.

Vì vậy, người sử dụng Apple nên thận trọng trong khi truy cập vào bất kỳ trang web nào bao gồm mã hoặc nhấp vào liên kết được gửi tới thông qua Facebook, WhatsApp hoặc email.

Haddouche đã đăng các mã nguồn của trang web CSS & HTML gây ra các cuộc tấn công khiến các thiết bị iPad và iPhone bị dừng và khởi động lại này trên trang GitHub cá nhân.

Haddouche cho biết ông đã báo cáo vấn đề cho Apple về việc Webkit có lỗ hổng và công ty này đang điều tra các vấn đề và tạo bản vá để xử lí trong bản cập nhật tiếp theo.

THN

0