Développeur et chercheur en sécurité, Sabri Haddouche a publié une preuve de concept qui affecte les appareils iOS avec pour conséquence un plantage et redémarrage de n'importe quel iPhone (ou iPad).

Une quinzaine de lignes de code dans une page web suffisent avec simplement du HTML et CSS. En l'occurrence, il s'agit d'exploiter un bug en rapport avec le moteur de rendu WebKit et la propriété CSS backdrop-filter permettant d'obtenir une effet de flou ou de changement des couleurs d'une zone derrière un élément.

Selon le découvreur du bug, tout ce qui permet un rendu HTML sur iOS est touché. Autant dire que pour jouer de vilains tours, un lien est si vite arrivé… D'autant plus que la preuve de concept est disponible sur GitHub et le chercheur en sécurité joue lui-même les artificiers via Twitter :

Si cette attaque est ennuyeuse, elle n'est par contre pas malveillante. Elle provoque une surconsommation des ressources graphiques. La propriété CSS impliquée est encore expérimentale et n'est pas activée par tous les navigateurs exploitant WebKit.

À ZDNet, Sabri Haddouche précise que le code HTML et CSS affecte également macOS avec un freeze de Safari et un ralentissement. Avec l'ajout d'un code JavaScript, les choses se compliquent et il semble que Safari relance le problème après un démarrage forcé. Le chercheur en sécurité a ainsi décidé de ne pas publier ce code pour macOS.

Il a alerté Apple de sa trouvaille découverte alors qu'il planchait sur des DoS (dénis de service) affectant des navigateurs.