هواتف آيفون عرضة لهجوم جديد يسمح بإعادة تشغيلها
عثر باحث أمني على طريقة جديدة لإيقاف أي جهاز هاتف آيفون عن العمل وإعادة تشغيله من خلال بضعة أسطر من التعليمات البرمجية فقط، حيث نشر صبري حدوش Sabri Haddouche عبر حسابه الشخصي على منصة التدوين تويتر صفحة ويب خاصة تثبت مفهوم هذا الهجوم عبر وجود 15 سطر من التعليمات البرمجية الخاصة بلغة CSS و HTML.
ووفقًا للباحث فإن أجهزة هواتف آيفون وحواسيب آيباد اللوحية تتوقف عن العمل وتقوم بعملية إعادة تشغيل تلقائية عند زيارة الصفحة، كما تؤثر الصفحة أيضًا على مستخدمي أجهزة الحواسيب العاملة بنظام MacOS، حيث يتجمد متصفح الويب سفاري Safari عند فتح الرابط.
وتستغل التعليمات البرمجية نقطة ضعف في محرك عرض الويب الخاص بحزمة iOS WebKit، الذي يستخدمه متصفح سفاري وتفرضه شركة آبل على جميع التطبيقات والمتصفحات.
وأوضح الباحث الأمني أن إضافة العديد من العناصر مثل علامات <div> داخل خاصية Backdrop-filter الجديدة نسبيًا في CSS يمكنك من استخدام واستهلاك جميع موارد الرسوميات وتوقف نظام التشغيل أو تجميده عن العمل، مما يؤدي إلى إغلاق نظام التشغيل وإعادة تشغيله لمنع حدوث أي ضرر.
وبحسب مهندس البرمجيات والباحث الأمني في تطبيق التراسل الفوري المشفر Wire فإن مستخدمي أنظمة ويندوز ولينكس لا يتأثرون بهذا الخطأ، وتبعًا إلى أن الهجوم لا يتطلب تفعيل تعليمات جافا سكريبت Javascript فإنه يعمل أيضًا في البريد، مما يؤدي إلى تجميد واجهة المستخدم ضمن نظام MacOS وإعادة تشغيل أجهزة آيفون وآيباد العاملة بنظام iOS.
ويؤثر هذا الهجوم على جميع المتصفحات على نظام التشغيل iOS، بالإضافة إلى تأثيره على متصفح سفاري وتطبيق البريد الإلكتروني في نظام macOS نظرًا لاستخدامهم جميعًا محرك عرض WebKit.
وينبغي الحذر من أي رابط مرسل من خلال فيسبوك أو تويتر أو إذا كانت أي صفحة ويب يزورها المستخدم تتضمن التعليمات البرمجية أو أي بريد إلكتروني مرسل، وتعمل هذه الثغرة على أحدث نسخة رسمية من نظام التشغيل iOS 11.4.1، بحيث أنها تؤدي إلى تعطله وإعادة تشغيل الهاتف.
وأكد توماس ريد Thomas Reed، مدير Mac & Mobile في شركة الأمن Malwarebytes أن أحدث إصدار تجريبي من نظام التشغيل iOS 12 قد تجمد أيضًا عند النقر على الرابط.
تجدر الإشارة إلى أنه لا يمكن استخدام هذا الهجوم لتشغيل تعليمات برمجية خبيثة، وهذا يعني أنه لا يمكن تشغيل البرمجات الضارة ولا يمكن سرقة البيانات، ولكن ليس هناك طريقة سهلة لمنع الهجوم من العمل، واتصل الباحث الأمني بشركة آبل بشأن الهجوم، وقالت الشركة إنها تحقق في الأمر، دون توضيح المزيد من المعلومات.
How to force restart any iOS device with just CSS? 💣
Source: https://t.co/Ib6dBDUOhn
IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3
— S (@pwnsdx) September 15, 2018
