Новая атака, основанная на CSS, приводит к сбою в работе iPhone

Новая атака, основанная на CSS, приводит к сбою в работе iPhone

Новая атака, основанная на CSS, приводит к сбою в работе iPhone

Исследователь в области безопасности нашел новый способ вызвать сбой в работе iPhone, а также заставить его перезагрузиться. Этого удалось добиться всего несколькими строками кода. Сабри Хаддуш даже опубликовал специальную веб-страницу, которая доказывает наличие бреши в безопасности.

Специалист поделился своими выводами в Twitter, там же он опубликовал proof-of-concept в виде веб-страницы, содержащей 15 строк кода. Если пользователь iPhone или iPad посетят такую страницу, их устройство не сможет продолжить работу, что приведет к перезагрузке.

Если эту же ссылку открыть в Safari на macOS, браузер тоже может зависнуть.

Суть эксплойта в использовании уязвимости в движке WebKit, который в iOS используется повсеместно. Хаддуш пояснил, что сотни вложенных элементов вроде тегов <div> внутри свойства backdrop-filter в CSS могут использовать все ресурсы устройства и вызвать сбой в ядре (kernel panic).

Это приведет к сбою в работе и последующей перезагрузке iPhone или iPad, поскольку система таким образом пытается предотвратить дальнейшие повреждения.

«Все, что касается рендеринга HTML в iOS, затронуто этой уязвимостью. Это справедливо и для отправленных ссылок в приложениях Facebook и Twitter, и для обычного посещения вредоносной страницы в браузере, и для электронных писем с такими ссылками», — объясняет эксперт.

Независимые исследователи протестировали код на последней на данный момент стабильной версии iOS 11.4.1 — он действительно привел к перезагрузке системы. Эта же проблема актуальна и для iOS 12.

Любой желающий может проверить работу эксплойта, так как он выложен на GitHub. В настоящее время Apple, судя по всему, работает над устранением бреши, так как Хаддуш сообщил корпорации о проблеме.

Фишеры научились рассылать письма с настоящих адресов крупных компаний

В даркнете появилась платформа для массовых фишинговых рассылок, которая умеет подставлять в строку отправителя реальные адреса известных организаций. На экране все выглядит убедительно: знакомый домен, привычное имя компании и письмо, которое легко принять за официальное.

Инструмент работает на основе спуфинга — подмены данных отправителя. В результате жертва видит настоящий корпоративный имейл, хотя сообщение на самом деле отправили мошенники.

По данным BI.ZONE Threat Intelligence, которые передаёт газета «Известия» ,платформу уже рекламируют на теневых площадках как готовый сервис для массовых атак.

Она позволяет не только использовать чужие адреса, но и автоматически собирать изображения с официальных сайтов, чтобы копировать логотипы, фирменное оформление и стиль писем.

Это делает фишинг особенно опасным. Обычный совет «проверьте адрес отправителя» здесь уже может не сработать: домен в письме действительно будет принадлежать реальной компании.

Такие сообщения могут маскироваться под счета, уведомления службы безопасности, документы, предложения от подрядчиков или просьбы срочно подтвердить данные. Дальше всё по классике: ссылка на поддельный сайт, вредоносное вложение или попытка выманить логин, пароль и банковские реквизиты.

Эксперты предупреждают, что даже внимательному пользователю будет сложно отличить такую подделку от настоящего письма. Поэтому теперь смотреть только на строку «От кого» недостаточно. Нужно проверять ссылки, контекст запроса и любые неожиданные требования что-то скачать, оплатить или срочно ввести данные.

RSS: Новости на портале Anti-Malware.ru