Attention, ce lien peut faire redémarrer votre iPhone et planter votre Mac

 

Un chercheur en sécurité vient de découvrir une faille CSS dans le WebKit d’iOS et de MacOS. Celle-ci provoque un bug faisant planter Safari et redémarrant les iPhone lançant le code.

Crédit photo : Terje Sollie

Si vous possédez un iPhone ou un ordinateur sous MacOS, faites attention aux liens sur lesquels vous cliquez ces prochains jours, ils pourraient s’avérer embêtants. Un chercheur en sécurité du nom de Sabri Haddouche vient en effet de découvrir une faille CSS qui fait planter le moteur de rendu WebKit sur iOS et MacOS.

How to force restart any iOS device with just CSS? 💣

Source: https://t.co/Ib6dBDUOhn

IF YOU WANT TO TRY (DON’T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3

— sh (@pwnsdx) September 15, 2018

Documentée sur GitHub, cette faille utilise les propriétés CSS webkit-backdrop-filter. « En utilisant des div imbriqués avec cette propriété, nous pouvons rapidement consommer toutes les ressources graphiques et bloquer le système d’exploitation » explique le chercheur à BleepingComputer. Résultat : un iPhone lançant cette page redémarre tandis que Safari sur MacOS freeze et nécessite un arrêt forcé de l’application.

Précisons que cette attaque ne contient pas de JavaScript et peut donc être chargée nativement dans les applications de Mail, ce qui risque d’amuser un certain nombre de petits malins. Attention donc pendant les prochains jours aux liens sur lesquels vous cliquez.

Les tests effectués montrent que ce bug affecte un grand nombre de versions d’iOS. Par ailleurs, nous avons essayé d’ouvrir le lien avec Firefox sur un iPhone X, mais le navigateur utilisant obligatoirement le WebKit Apple, l’effet reste le même.

Notons par ailleurs qu’un exploit similaire est possible sur Chrome (et donc Android), avec une ligne JavaScript ce coup-ci. Celui-ci a été mis à jour par le même chercheur une semaine plus tôt :

How to entirely freeze ChromeOS / Chrome in one line of JS? 💣

<script>for(let i=0;i<1/0;i++)document.location.href="#",window.history.back(),window.history.forward();</script>

IF YOU WANT TO TRY (DON'T BLAME ME IF YOU CLICK) : https://t.co/UhoUFWej4p

— sh (@pwnsdx) September 9, 2018

Quel que soit votre téléphone ou votre navigateur, ne cliquez pas n’importe où. Et si vous souhaitez encore plus vous protéger, n’hésitez pas à lire nos 9 conseils de sécurité sur Android.

  Il existe pléthore de règles de sécurité à suivre. Vous pouvez, par exemple, chiffrer les données de votre smartphone, ce que Android 7.0 Nougat fait nativement par exemple ou restreindre l’accès aux autorisations que les applications demandent….
Lire la suite


Nos confrères de Numerama lancent Watt Else, leur newsletter dédiée à la mobilité du futur. Inscrivez-vous par ici pour être certain de recevoir le prochain numéro !