Bug no iOS reinicia o sistema com um código HTML simples.

Bug no iOS reinicia o sistema com um código HTML simples.

Overview

Neste sábado passado, um desenvolvedor em segurança, Sabri, agitou o universo digital com uma descoberta surpreendente: um código HTML capaz de reiniciar dispositivos iOS com apenas algumas linhas de código. Mas o que torna este código tão especial? E como algo tão simples pode causar um efeito tão drástico? Junte-se a nós enquanto mergulhamos nesta fascinante ocorrência digital, explorando a técnica por trás desse ataque e como você pode se proteger contra uma brincadeira potencialmente irritante. Além disso, descubra por que os usuários do Microsoft Edge podem estar sorrindo diante desse caos. Preparado? Vamos lá!

No sábado passado (15/09/2018), Sabri (desenvolvedor que pesquisa sobre segurança) postou um código HTML simples que faz qualquer dispositivo iOS reiniciar. Em teoria, qualquer versão do iOS (mesmo a 12) está suscetível a este bug. Algumas pessoas tem reportado também que este tipo de ataque causa comportamentos estranhos no navegador nativo do PlayStation 3.

Este código que ele descobriu funciona como uma forma de ataque DoS (Denial Of Service) que, como o próprio nome sugere, impede que você acesse um serviço ou funcionalidade do seu dispositivo.

Uma breve explicação técnica

A ideia do ataque é tentar renderizar uma página com apenas HTML e CSS. Uma página com uma quantidade absurda de divs (3486) configuradas para serem gigantes (10000px por 10000px) e com uma imagem jpg repetida varias vezes para formar o fundo da imagem + blur aplicado através do backdrop-filter. Isso gera um consumo gigante de memória, o que desencadeia o resto dos problemas.

O problema não é por culpa da quantidade de divs, do tamanho delas ou das imagens de fundo, mas do filtro do webkit. De acordo com a descrição deste changeset do webkit, o erro foi corrigido. Agora é só esperar a Apple atualizar seus sistemas.

Poxa, mas quem diabos vai usar isso?

Qualquer um que tenha uns 10 minutos livres e queira trollar os amigos que usam iOS e/ou não seja bem intencionado. Este “ataque” é bem simples de implementar, uma vez que é só pegar o código, salvar um arquivo html e disponibilizar para acesso.

O que fazer para se proteger?

Bom, não acredito que este “ataque” vá causar maiores problemas. Todavia, para variar, a melhor forma de se proteger é usando o bom senso. Na pior das hipóteses, seu celular vai reiniciar e aí é só não entrar novamente na página que causou o problema. Na frente Apple, parece que o erro ocorre com o MacOS Mojave na versão mais nova.

O tweet que divulgou o bug

How to force restart any iOS device with just CSS? 💣

Source: https://t.co/Ib6dBDUOhn

IF YOU WANT TO TRY (DON"T BLAME ME IF YOU CLICK) : https://t.co/4Ql8uDYvY3

— Sabri (@pwnsdx) September 15, 2018

A única coisa que danificada com este ataque foi a dignidade de quem usa iOS

Pelo que os usuários estão comentando, este problema não ocorre com o Microsoft Edge. Ele “percebe” que está ocorrendo um consumo gigante de memória e cancela o processo, evitando que o sistema precise ser reiniciado.

Brincadeira, viu? 😛

Referência: