นักวิจัยชี้ช่องโหว่ใหม่ในการโจมตีด้วย CSS ทำให้ iPhone รีสตาร์ทหรือ Mac ค้างได้

Sabri Haddouche นักวิจัยด้านความมั่นคงปลอดภัยจาก Wire ได้เผยถึงการโจมตีด้วย CSS สามารถทำให้ iOS เกิดการรีสตาร์ทหรือทำให้เครื่อง Mac ค้างได้ เพียงแค่ผู้ใช้งานเข้าไปเว็บเพจที่มีการใช้งาน CSS และ HTML ที่ผู้โจมตีต้องการ อย่างไรก็ตามผู้ใช้งาน Windows และ Linux ไม่ได้รับผลกระทบ

Haddouche เล่าว่าไอเดียคือ “ผู้โจมตีสามารถใช้งานจุดอ่อนของคุณสมบัติของ CSS คือ -webkit-backdrop-filter” และ “ด้วยการใช้คุณสมบัติดังกล่าวหลายๆ ชั้น (nest) เราสามารถทำให้เกิดการใช้ทรัพยากรของอุปกรณ์และทำให้ระบบปฏิบัติการค้างได้ นอกจากนี้การโจมตีไม่ต้องอาศัย JavaScript ช่วยเลย อีกทั้งยังสามารถใช้งานได้บนอีเมลอีกด้วย คือ macOS จะทำให้หน้า UI ค้างส่วน iOS จะทำให้เกิดการรีสตาร์ทได้” อย่างไรก็ตามการโจมตีดังกล่าวส่งผลกระทบกับทุก Browser บน iOS และบนอีเมลของ macOS ด้วยสาเหตุเพราะมีการใช้ WebKit เพื่อแสดงผลเหมือนกัน

ผู้ใช้งาน iOS จะเกิดผลลัพธ์จากการโจมตี 2 กรณีจากการทดสอบคือ

• เกิดการ Respring หรือเกิดการรีสตาร์ทหน้า UI (SpringBoard) บน iOS 11.4.1
• เกิดการรีสตาร์ทตัวเองเพราะ Kernel ตอบสนองกับการกินทรัพยากรมากๆ บน iOS 12

ในส่วนของผู้ใช้งาน macOS นั้นจะทำให้เครื่องค้างและช้าลงแต่ก็สามารถแก้ไขได้ด้วยการปิดแท็บของ Safari ไปเพื่อหยุดการโจมตี โดยยังไม่มีวิธีการบรรเทาปัญหา ดังนั้นในระหว่างรอทาง Apple แก้ปัญหาทางนักวิจัยก็ได้เตือนให้ผู้ใช้ระมัดระวังในการเข้าลิงก์ที่ไม่น่าไว้ใจ ผู้สนใจสามารถลองเข้าไปทดสอบได้ที่ rawgit.com หรือไปศึกษารายละเอียดเชิงลึกส่วนการใช้ CSS ได้ที่ GitHub สามารถชมวีดีโอสาธิตได้ตามด้านล่าง

ที่มา : https://www.bleepingcomputer.com/news/security/new-css-attack-restarts-an-iphone-or-freezes-a-mac/