Yeni Web Exploit: Crash Can ve iPhone’unuzu Yeniden Başlatabilir

2018 ve sadece birkaç satır kod çökebilir ve iPhone veya iPad’i yeniden başlatıp Mac bilgisayarının donmasına neden olabilir. Şifreli anlık mesajlaşma uygulaması Wire’daki bir güvenlik araştırmacısı olan Sabri Haddouche , özel olarak hazırlanmış birkaç CSS ve HTML kodu kullanan bir istismar içeren bir konsept kanıtı (PoC) web sayfası ortaya koydu .

Sadece basit bir çökmenin ötesinde, ziyaret edildiyse, web sayfası tam bir cihaz çekirdeği paniğe ve tüm sistemin yeniden başlatılmasına neden olur.

Haddouche en PoC Apple’ın web render motoru bir zayıflık sömüren WebKit Apple’ın işletim sistemi üzerinde çalışan tüm uygulamalar ve web tarayıcıları tarafından kullanılır.

Webkit sorunu, CSS’deki bir arka plan filtresi özelliğinin içinde “div” etiketleri gibi birden çok öğeyi düzgün bir şekilde yükleyemediğinden, Haddouche, cihazın tüm kaynaklarını kullanan ve çekirdeği paniğe bağlı olarak cihazın kapatılmasına ve yeniden başlatılmasına neden olan bir web sayfası oluşturdu.  Ayrıca, iPhone kazasında saldırı eylemini gösteren araştırmacı tarafından yayınlanan video gösterisini de izleyebilirsiniz.

[youtube https://www.youtube.com/watch?v=3kgbkowrUH4&w=560&h=315]

Microsoft Edge, Internet Explorer ve iOS’ta Safari’nin yanı sıra MacOS’ta Safari ve Mail dahil olmak üzere tüm web tarayıcıları, bu CSS tabanlı web saldırısına karşı savunmasızdır çünkü hepsi WebKit oluşturma altyapısını kullanır. Windows ve Linux kullanıcıları bu güvenlik açığından etkilenmez.

Hacker News, Chrome, Safari ve Edge (MacBook Pro ve iPhone X’te) dahil olmak üzere farklı web tarayıcılarındaki saldırıyı test etti ve hala hem macOS hem de iOS işletim sistemlerinin en son sürümlerinde çalıştı.

Bu nedenle, Apple kullanıcılarının, kod dahil herhangi bir web sayfasını ziyaret ederken veya Facebook veya WhatsApp hesaplarından veya bir e-postadan gönderilen bağlantılara tıklarken dikkatli olmaları tavsiye edilir. Haddouche, bu saldırıya neden olan CSS & HTML web sayfasının kaynak kodunu, GitHub sayfasında yayınladı.

Haddouche, sorunu daha önce Webkit güvenlik açığı konusunda Apple’a bildirdiğini ve şirketin sorunu araştırdığını ve sorunu çözmek için bir çözüm üzerinde çalıştığını söyledi. Gelecekteki bir sürümde.