Wystarczy prosta strona ze specjalnym stylem, by zawiesić iPhone'a i Maca
W roku 2018 można sądzić, że o tworzeniu stron internetowych wiemy już wszystko. Mimo tego wystarczy kilka linii kodu, by spowodować poważną awarię iPhone'a, iPada lub komputera z systemem macOS. Podatność jest obecna w silniku WebKit, na podstawie którego działa przeglądarka Safari.
Atak składa się tylko z kilku linii stylu CSS i kodu HTML. Jeśli tak przygotowaną stronę otworzymy w przeglądarce Safari, spowoduje ona nie tylko awarię przeglądarki, ale też bardziej poważne konsekwencje. Strona wywoła awarię jądra (kernel panic) i ponowne uruchomienie systemu.
Odpowiada za to błąd w silniku WebKit. Na systemach firmy Apple ma on problem z ładowaniem wielu elementów (na przykład pól <div>) wewnątrz właściwości backdrop-filter. Właściwość ta dodaje efekty tła, jak rozmycie czy zmiana koloru, do całego widocznego obszaru za danym elementem, który musi oczywiście być choćby częściowo przezroczysty, byśmy mogli zobaczyć efekt stylu.
Luka została zaprezentowana przez Sabriego Haddouche, jednego z autorów szyfrowanego komunikatora Wire. Przykładową stronę, która spowoduje awarię po otwarciu w Safari, znajdziecie na GitHubie. Atak w akcji możecie zobaczyć na filmie. iPhone uruchamia się ponownie po chwili od przejścia pod odnośnik do szkodliwej strony, zawierającej 3485 znaczników <div>. Identyczny efekt da przejście pod ten odnośnik w Safari na macOS-ie lub w kliencie poczty Mail.
Z dalszych eksperymentów wynika, że podatne są nie tylko przeglądarki Apple, ale też inne, korzystające z WebKitu. Atak udało się odtworzyć także w mobilnej wersji Microsoft Edge (desktopowa jest odporna, podobnie jak wszystkie inne przeglądarki na Windowsie).
Haddouche już zgłosił wadę silnika firmie Apple, która prawdopodobnie pracuje nad rozwiązaniem. Na razie jednak nie mamy oficjalnego komentarza w tej sprawie i nie wiemy, kiedy zostanie wydana poprawka. Póki co osoby korzystające z Safari powinny uważać na linki, które dostają pocztą, przez komunikatory albo udostępniane na Facebooku. Atak prawdopodobnie nie stanowi bezpośredniego zagrożenia dla naszych danych, ale nie jest to nic przyjemnego, zwłaszcza jeśli Safari jest ustawiona, by zapamiętywać ostatnio otwierane strony.