La falla di sicurezza è in un componente usato da tutti i sistemi Apple: per l'exploit basta creare un sito web con un CSS particolare. Di per sé pare difficile che questa vulnerabilità possa essere sfruttata per attacchi malware, ciò non toglie che possa diventare una scocciatura. Questo per il semplice fatto che questo bug, scoperto dal ricercatore di Wire Sabri Haddouche, richiede pochissime conoscenze tecniche per essere sfruttato e, per quanto magari non produrrà mai gravi danni, può creare fastidi.
Non è la prima volta...
Non sarebbe infatti la prima volta che falle piuttosto deboli, ovvero che non rischiano di compromettere completamente sistema e dati, vengono usate per "tirare brutti scherzi" o per il mero gusto di dare fastidio.
Nel Gennaio del 2017 successe qualcosa di simile, riguardante però iPhone ed iPad. Anche in questo caso il problema poggiava su falle dei sistemi operativi che portavano al blocco del sistema. Ad esempio le versioni di iOS dalla 10 in poi, potevano essere bloccate con un semplice messaggio contenente apparentemente tre caratteri: l'emoji di una bandiera bianca, uno zero e l'emoji di un arcobaleno. L'iPhone e l'Ipad che ricevevano questi messaggi finivano bloccati e solo il riavvio sbloccava la situazione. Il trucco era semplice: il messaggio conteneva 4 caratteri, non 3. Il quarto, quello invisibile, si chiama Variation Sector 16 (VS16) ed è un comando che consente di fondere due emoji tra loro per crearne uno nuovo. Nella sequenza sopra descritta, che appunto serve a far visualizzare una bandiera arcobaleno, lo zero "confondeva" iOS e provocava il crash. In questo caso c'era anche una particolarità ulteriore: non importava neppure aprire il messaggio, il dispositivo andava in blocco automaticamente nel momento della ricezione. Così iniziarono a girare, e "il gioco" durò qualche mese, centinaia di migliaia di messaggi contenenti i 3(+1) caratteri.
Il caso attuale...Nel caso del bug scoperto dal ricercatore Haddouche il problema non riguarda specificatamente iOS, ma un componente chiamato WebKit, usato per il rendering delle pagine web. Nel dettaglio, ha spiegato il ricercatore, basta "nidificare" le proprietà del CSS di una pagina web in una maniera tale da esaurire le risorse grafiche del sistema operativo e provocarne così il blocco.
Questo trucchetto funziona sia con Safari che con Mail su Mac, mentre su iOS funziona con tutti i browser. WebKit è infatti presente, per politica di sviluppo di Apple, in tutte le app per iOS. Sono però diverse le conseguenze: il Mac subisce solo un rallentamento, iOS invece subisce un riavvio. Haddouche afferma però di aver osservato comportamenti diversi nei vari dispositivi mobile a seconda della versione del sistema operativo.
C'è una soluzione?
Per ora no, nel senso che non vi sono tecniche per mitigare il problema. Pare però che dalle parti di Cupertino si stia già lavorando, in tutta fretta, ad un aggiornamento che risolva la situazione prima che rischi di divenire endemica.
Nessun commento:
Posta un commento