Kwetsbaarheid laat iPhones crashen bij aanklikken van linkje

Door gebruik van bepaalde CSS-code kon onderzoeker Haddouche iOS laten crashen, waardoor de iPhone opnieuw opstart. Op een speciaal geprepareerde webpagina heeft de onderzoeker een linkje geplaatst, zodat iedereen het zelf kan proberen. Ook gaf hij de broncode vrij. Dat laatste brengt ook meteen risico’s met zich mee: nu kan iedereen een dergelijke crashlink ‘voor de grap’ in een website opnemen.

Linkje laat iOS crashen

De onderzoeker heeft Apple op de hoogte gebracht voordat hij over de kwetsbaarheid publiceerde. Apple zou hebben aangegeven de kwetsbaarheid te onderzoeken.

CSS is een belangrijk bestanddeel van internetsites, waarmee wordt vastgelegd hoe een site eruit moet zien. De kwetsbaarheid heeft te maken met het backdrop filter-effect, een vrij nieuwe CSS-functie. Om iOS te laten crashen geeft Haddouche de opdracht om de achtergrond van een site vaag te maken of de kleuren in elkaar over te laten lopen. Doordat het grafische geheugen van de iPhone vol loopt, treedt kernel panic op en start het toestel opnieuw op. Daarna is de iPhone weer gewoon te gebruiken. macOS zou er ook gevoelig voor zijn, maar daarbij loopt alleen een tabblad in de browser vast. De rest van het systeem blijft functioneren.

Volgens Haddouche is het met wat aanpassingen wel mogelijk om ervoor te zorgen dat een Mac ook volledig vastloopt. Die code heeft hij bewust niet openbaar gemaakt. Dat iOS er sneller op vastloopt komt waarschijnlijk omdat het backdrop filter-effect relatief zwaar is om te verwerken. Het komt wel vaker voor dat iPhones crashen door een simpele handeling, zoals het aanklikken van een linkje of het ontvangen van een chatbericht met een vreemd teken. Meestal lost Apple het binnen korte tijd op.