A Apple tem mesmo de rever uma série de procedimentos em relação à segurança dos seus sistemas operativos. Pese o facto de responderem muito rápido na reparação de qualquer incidente de segurança ou não, a empresa tem de “fechar” o cofre dos bugs que tanto tem sido notícia.
Foi descoberto um novo ataque que fará com que o iOS reinicie e que o macOS congele, simplesmente visitando uma página da Web que contenha determinado código CSS e HTML. Este bug não afeta utilizadores Windows e Linux.
Bug iOS e macOS – O perigo vem pelo CSS…
Esse novo ataque foi descoberto por Sabri Haddouche, um investigador de segurança da Wire, que conseguiu criar uma forma de usar rapidamente os recursos de um dispositivo da Apple para que ele falhasse ao visitar uma página da web.
Segundo o que referiu Haddouche, “o ataque usa uma fraqueza na propriedade CSS -webkit-backdrop-filter”. Usando divs alinhadas com essa propriedade, podemos consumir rapidamente todos os recursos gráficos e travar ou congelar o sistema operativo.
O ataque não requer Javascript para ser ativado, portanto, também funciona no Mail. No macOS, o congelamento dá-se na interface do utilizador. Já no iOS, a falta de recurso faz com que o dispositivo seja reiniciado.
https://twitter.com/pwnsdx/status/1040944750973595649
Este ataque afeta todos os navegadores no iOS, bem como o Safari e o Mail no macOS, porque todos eles usam o mecanismo de renderização do WebKit. Como é sabido, os navegadores de terceiros são afetados porque a Apple não permite que seja usado outro mecanismo de renderização.
Dependendo da versão do iOS em uso, isso pode causar um resultado diferente. O dispositivo pode reiniciar apenas a interface do utilizador ou pode provocar um kernel panic, que faz com que o dispositivo seja reiniciado. O investigador fez os testes usando o iOS 12 e o dispositivo foi completamente reiniciado, mas no iOS 11.4.1, apenas causou uma nova impressão.
Veja o vídeo que preparamos para mostrar os sintomas no iOS:
Ataque funciona simplesmente se visitar uma página da web
Quando um utilizador visita uma página que hospeda este código CSS e HTML especialmente criado, dependendo da versão do iOS, o dispositivo usa rapidamente todos os recursos disponíveis. No iOS isso causará um kernel panic e uma reiniciação ou apenas uma reiniciação do iOS.
Para os utilizadores dos Mac, isso fará com que a sua sessão do Safari inicie e congele automaticamente o Mac.
Infelizmente, neste momento não há como mitigar esse tipo de ataque. Basicamente o utilizador deverá ter algum cuidado onde clica e em que tipo de sites clica nos links, não clicar em links aleatórios, até que a Apple desenvolva e lance uma correção.
Para quem quiser ver o CSS e HTML que causa esse ataque, o investigador publicou-o na sua página do GitHub. Basta ter cuidado ao clicar no link (https://t.co/4Ql8uDYvY3) pois ele irá “congelar” rapidamente o seu iOS ou causar problemas no Mac.