Spezielle Webseite lässt iPhone und iPad neustarten

Kleine Warnung an unsere Leser, die mit iPhone oder iPad unterwegs sind. Derzeit macht ein spezieller Link die Runde, der bei Anklicken iPhone und iPad abstürzen lässt. Das Ganze nennt sich Safari Ripper und ist als Quellcode veröffentlicht worden. Das iPhone oder das iPad nehmen keinen Schaden, die Geräte starten lediglich neu. Wir konnten das Verhalten sowohl unter iOS 11 als auch unter iOS 12 reproduzieren. Offensichtlich kann Safari die Seite mit einem riesigen Hintergrund (10.000 x 10.000 Pixel) und vielen verschachtelten DIVs nicht verarbeiten und sorgt in irgendeiner Form für einen Neustart der Geräte. Der Quellcode befindet sich hier, wer das Ganze testen will, klickt hier.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

42 Kommentare

  1. Mit einer anderen Browser-Engine wäre das nicht passiert. Aber Apple macht in seinem geschlossenen iOS halt Monokultur und Kahlschlag.

    Apple zwingt alle seine Opfer zur Safari-Engine und lässt keine alternativen Browser in den App Store, wenn sie nicht die Safari-Engine von Apple nutzen.

    • Dann geh‘ doch zu Netto!

    • Das gleiche gilt auch für android. Alle Browser im Playstore bauen auf der Chrome API auf und dadurch sind Lücken in chrome gleichzeitig Lücken in jedem anderen Android Browser. Bitte sich vorher informieren, bevor man loskrakelt

      • Richard Rosner says:

        falsch. Viele Browser bauen auf Chromium auf. Lediglich Apps, deren Entwickler keinen eigenen Browser einbauen wollen, die aber trotzdem Webinhalte zeigen sollen, nutzen WebView, was seit Android 8 oder so durch Chrome stable ersetzt wird, wenn man diesen nicht deaktiviert.
        Firefox hat jedoch seine komplett eigene Engine, Edge könnte auch seine eigene nutzen, wäre MS nicht zu faul, sie zu portieren.
        Aber sowohl Chrome als auch das immer noch weiterentwickelte WebView bekommen mindestens alle 6 Wochen ein Update, zusätzlich zu Bugfixes zwischendurch. Und bisher ist mir noch nie ein Bug untergekommen, der jeden Androiden mindestens zu einem Neustart gezwungen hat, maximal ist Chrome abgeschmiert. Und wie gesagt, das kann umgangen werden, indem man z.B. Firefox nutzt. Teilweise kann es auch reichen, kurzfristig zu Chrome beta oder dev zu wechseln, wenn man trotzdem bei Chrome bleiben will. Eine solche Ausweichmöglichkeit ist unter iOS unmöglich. Da läuft alles über Safaris Engine, die tief im OS verankert ist und somit mit diesem aktualisiert werden muss.
        Und wenn man eine andere Chrome variante nutzt, kann man diese auch als WebView Implementation nutzen und somit den Bug in anderen Apps nutzen, die dies nutzen, wenn nur Chrome stable betroffen ist. Von FF gibt’s leider keine solche Implementierung, ich bin mir aber nicht sicher, ob Android dies nicht ermöglicht oder sich bei Mozilla noch keine drum gekümmert hat, das zu implementieren. Vermutlich ersteres, da Google den App Entwicklern ja irgendwie einen konsistenten Funktionssatz anbieten muss, FF unterstützt nicht immer direkt das gleiche wie die aktuellste Chrome version

      • Falsch. Bitte informiere dich vorher, bevor du irgendwas falsches behauptest und herumpöbelst.

        Beispielsweise Firefox für Android benutzt nicht die Chrome-Engine, sondern seine eigene Quantum-Engine (früher: Gecko). Unter Android hat man die freie Wahl und kann sogar komplett Google-frei arbeiten, wenn man will.

        Unter iOS zwingt Apple dagegen alle User in den eigenen App Store und lässt dort keine alternativen Browser zu, wenn sie nicht auf der Apple-Webkit-Engine basieren. Auch z.B. Firefox kann unter iOS nicht seine eigene Engine benutzen, sondern wird zur Apple-Engine gezwungen. Quasi ein Safari-Klon mit anderer Oberfläche.

        Apple ist immer der Türsteher und Gatekeeper zwischen dem User und dem Web. Deshalb werfen auch Browser-Entwickler Apple Machtmissbrauch vor.

  2. iPhone 6s: Das Reboot-Feature funktioniert

  3. Endlich mal ne sinnvolle Anwendung für iOS!

  4. Matthias Krause says:

    „Wir konnten das Verhalten sowohl unter iOS 11 als auch unter iOS 12 reproduzieren. “

    War die Testperson einverstanden? 😀

  5. Tja is doch ein nettes Feture für ein Iphone für mehr als 1500€. Eh ich mir so ein Smartphone hole, wo mann so bevormundet wird geh ich ins altenheim mit nem gesetzlichen Vormund.

    • Selten so einen Schwachsinn gelesen. Sorry. Eine besonders präparierte Website führt dazu, dass ein Gerät neu startet – das ist ärgerlich, aber in 99% aller Fälle ist ein verantwortungsbewusster Internetnutzer davon nicht betroffen und das restliche Prozent at hoffentlich die Pin für die Simcard im Kopf.

      • Verantwortungsbewusster Nutzer xD ?
        Das ich nicht lache, die meisten die ich kenne bzw. von denen mir andere erzählen das die ein iPhone haben sind flaschen, nichts im Kopf, denken nicht darüber nach oder haben gar den technischen Background oder gar Verständnis was Apple damit überhaupt macht. Es sind ganz normale Nutzer.

      • Richard Rosner says:

        du weißt schon, dass es absolut keine Möglichkeit gibt, solch präparierte Seiten zu erkennen, bevor man sie öffnet? Man kann nur hoffen, dass so etwas nie in den Google Suchergebnissen auftaucht und bei manipulation einer eigentlich vertrauenswürdigen Seite Googles Bots anschlagen und eine Warnung ausgibt, Safari scheint ja immerhin die Safe Browsing API zu nutzen.
        Aber ansonsten ist kein Nutzer der Welt, egal wie erfahren, dagegen Gefeit und kann immer auf solch eine Seite geraten. Und ein einfacher Neustart ist ja noch der Idealfall. Wenn der Renderer sich äufhängt ließe sich das sicher auch für Sicherheitslücken ausnutzen, die normaler Weise nicht erreichbar wären.

    • Dann lieber alle Daten zu Google schicken und ewig hoffen dass der Hersteller OS Updates anbietet und Sicherheitslücken mal stopft. Super Argumentation…

      • Richard Rosner says:

        Wenn man OS Updates will muss man halt einen Hersteller nehmen, der sie auch verteilt. Wer wie zuverlässig ist, ist allgemeinhin bekannt. Und keiner von denen verlangt so astronomische Preise wie Apple, Google ist da mit seinen bis zu 1049€ mit Abstand am teuersten, und das auch nur über ihren Store. Bei Amazon finde ich es auf Anhieb für 625€. Essential ist bei 549€ und ist nur wenige Stunden langsamer als Google. Deine Argumentation hinkt also auch gewaltig

    • Jo, denn Android ist 100% bugfrei. Am besten sind die Android-Nutzer die sich exzessiv unter Apple-Artikeln rumtreiben (obwohl ihnen diese Informationen am Arsch vorbei gehen sollten) und dann anderen irgendwas vormachen müssen. Das geht auch immer nur in eine Richtung, kein iOS-Nutzer würde auf die Idee kommen so seine Zeit zu verschwenden. Das ist schon ausgeprägt pathologisch.

      • Kein anderer Nutzer wird regelmäßig so ausfallend im Kommentarbereich wie du. Das ist schön besonders pathologisch.

        • Er hat recht. Unter fast jedem Apple-Post gibt es mindestens einen, der mit Inbrunst iPhones oder gleich Apple selbst angeht und schließlich damit endet, wie toll, günstig und eh besser es bei Android ist.

          Mann, ich kann es nicht mehr sehen. Lasst doch einfach die Leute in Ruhe. Die einen mögen iPhones, die anderen was anderes. Ist doch ok. Warum immer dieses Gebashe bei Apple-Posts…?

          • Vermutlich weil Apple Anhänger ebenso oft behaupten, wie fortschrittlich, innovativ und Apple technisch allen anderen 4 Jahre voraus sei. Was natürlich lachhaft hoch 10 ist, aber tatsächlich „mit Inbrunst“ geglaubt wird. Das deutet entweder auf Unwissenheit oder Arroganz hin und beides muss man nicht zwangsläufig unkommentiert lassen.
            Ebenso oft haben Leute wie Kalle und Legomio regelmäßig hier ihre Wutanfälle im blinden Apple Wahn. Das nervt einfach nur.

            • Ok, verstehe. Da es irgendwo Menschen gibt, die von ihrem iPhone überzeugt sind und das kundtun, wird in der Voraussicht, dass dies erneut geschieht, schonmal mit dem Bashen begonnen. So wie hier in den Kommentaren auch…

              Ganz im Ernst: Wenn ein Apple-User solche Dinge behauptet, dann ist es jedes Android-Users Recht, das klarzustellen. Aber was Celli geschrieben hat, wurde nicht provoziert: Apple ist zu teuer! Apple bevormundet! Vorher geh ich doch ins Altenheim!
              Um diese Themen geht es noch nicht einmal in dem Posting.
              Das hat nichts damit zu tun, dass Apple Anhänger irgendwas behaupten. Das ist einfach nur Bashing. Nicht mehr und nicht weniger. Und das liest man hier einfach überall unter allem, wo Apple drüber steht.

              Und ich sage: Lasst doch jeden machen wie er mag. Es gibt für iOS sowie für Android Nutzer und Daseinsberechtigungen. Warum kann man sich gerade in einem Techblog inhaltlich nicht vertragen oder sachlich diskutieren?

              Ich bin iOS-Nutzer und bin zufrieden. Und ja, es gibt Dinge, die kann mein iPhone nicht, Android-Geräte schon. Das ist mir bewusst, und ich muss damit leben oder muss überlegen, ob ich wechsle. Aber ich mache Androids per se nicht schlecht, weil sie es einfach nicht sind. Genauso wenig sind iPhones schlecht. Also warum nicht endlich mal ein vernünftiger Austausch und eine Gemeinschaft unter den Lesern der ganzen Techblogs, statt diesem ewigen “iPhones sind soooo schlecht, und ihr seid solche Schafe!”?

              (Darüber sollte man hier im Blog mal einen Artikel schreiben. Das wäre lesenswert für uns alle.)

              • Eigentlich ist es ganz einfach: wer in Online-Foren andere wegen vermeintlicher Unzulänglichkeiten technischer Produkte, die diese anderen benutzen oder gekauft haben runtermacht, versucht sich selbst zu erhöhen um dem eigenen Ego einen Schub zu geben. Da erfolgt die eigene Definition über ein Produkt, die Zugehörigkeit zu einer Gruppe, usw, manche Leute brauchen das, weil sie ein sehr geringes Selbstwertgefühl haben.

        • Das war erstens nicht ausfallend und zweitens lediglich Klartext und nicht pathologisch. Versuch’s weiter hart. Irgendwann kommt vielleicht auch mal ein Argument bei rum.

          • Es liegt nicht an dir, zu urteilen, wie dein geschriebenes Wort wirkt, sondern an anderen. Und für die meisten hier und auch sonst irgendwo auf der Welt ist „am Arsch vorbei“ ausfallend, Punkt.

  6. Klappt. Mal sehen, ob Apple zum Montag noch ein Update hinbekommt.

  7. Funktioniert auch mit Chrome (iOS 12, Golden Master).

  8. Ich find diese ganzen Safari Bigs auf dem iPhone irgendwie immer sehr lustig. Meine Freunde, die ein iPhone haben, allerdings nicht

  9. iOS 9 unter iPhone 5s
    Geht auch

  10. Es gibt Themen, bei denen die Kommentare den Artikel verbessern und vervollständigen.
    Und es gibt die anderen…. dies ist eines von den anderen 😉

  11. RegularReader says:

    Bin beruhigt. Für iOS liest man immer wieder von Webseiten oder Nachrichten, die das System neu starten lassen. Ärgerlich, aber nicht schlimm. In gleicher Takting bei Android liest man von Trojanern und anderen Angriffvektoren.
    Das man iOS maximal neu starten lassen kann, spricht absolut für das System. 🙂

    • Träum weiter. Natürlich gibt es immer wieder zahlreiche Trojaner und Angriffsvektoren unter Apple iOS. Übrigens auch solche, die iPhones und iPads komplett abstürzen ließen. Und unter der alternativlosen Apple-Monokultur wirkt sich das dann besonders verheerend aus.

      • Ich find’s gut dass du die zahlreichen iOS-Trojaner und Angriffsvektoren erwähnst. Du hast aber irgendwie vergessen, die hier zu nennen.

      • Welche sind das denn? Im Ernst: Mir sind keine bekannt, aber würde gerne wissen, auf welche du dich beziehst.

        • Nur um ein Beispiel zu nennen:

          https://www.zdnet.de/88312627/ios-trojaner-laesst-iphones-und-ipads-abstuerzen/

          iOS-Trojaner lässt iPhones und iPads abstürzen

          Trend Micro warnt vor einem neuen Trojaner für iOS, der seit Ende November 2016 überwiegend über Soziale Medien wie Twitter und Youtube verbreitet wird. Die YJSNPI genannte Malware installiert ein schädliches Profil auf iOS-Geräten, das diese unbrauchbar macht und abstürzen lässt.

          Verteilt werden die unsignierten Profile über speziell präparierte Websites – die ihre Besucher über Twitter- und Youtube-Links erhalten. Vor allem der Apple-Browser Safari kann per JavaScript dazu gebracht werden, beim Aufruf der Seite ein schädliches Profil automatisch herunterzuladen.

          • Naja, so ganz zieht dein Beispiel nicht. In dem Artikel steht nämlich auch:

            „Die Installation des Profils erfolgt allerdings nur mit ausdrücklicher Zustimmung des Nutzers. Da das Profil nicht signiert ist, muss ein Opfer zuerst eine Warnmeldung bestätigen. Erst danach kann der Trojaner seine Arbeit aufnehmen […]“

            Da ist also schon eine deutliche Hürde für den Trojaner zu nehmen.

            Selbst Anti-Viren-Software-Hersteller wie Kaspersky hat einen Beitrag zur Sicherheit von iOS verfasst, aus dem hervorgeht, dass Malware es extrem schwer hat und Apple sein System aus dem Kern heraus schon recht sicher abgedichtet hat.

            https://www.kaspersky.com/blog/ios-security-explainer/23811/
            auf deutsch:
            https://www.kaspersky.de/blog/ios-security-explainer/17627/

            Aber du sprichst von zahlreichen Trojanern. Welche noch? Und vor allen Dingen: Welche Trojaner können Schaden ohne aktive Userunterstützung anrichten?

    • Richard Rosner says:

      Klar liest man von solcher Panikmache, da Google es leider bisher nicht geschafft hat, Hersteller von AVs, die damit natürlich nur die Werbetrommel für ihren Müll rühren, aus dem PlayStore zu verbannen.
      Denn hättest du auch nur einen Funken ahnung, wüsstest du, dass die Möglichkeiten zwar theoretisch bestehen, praktisch aber keine Bedeutung haben. Solange du dir nicht von dubiosen russischen Seiten deine gecrackten Apps ziehst und diese unter Missachtung diverser Hinweise und wahrscheinlich noch ausdrücklichen Warnungen von Play Protect installierst, ist die Chance Opfer eines solchen Angriffes zu werden gleich null.
      Hingegen solche Methoden wie z.B, dieses XKeyGhost oder wie das hieß sind bedeutend effektiver. Wenn Apple es bei der manuellen Kontrolle übersieht fängt man sich schnell was ein. Und niemand rechnet damit weil der App Store ja so unglaublich sicher ist. Dabei unterliegt er lediglich der Willkür Apples. Und da unter iOS der Store die einzig praktikable Methode ist, Apps zu installieren ist das natürlich besonders fatal.
      Das schlimmste, was im PlayStore landen kann sind Crypto Miner. Diese waren aber auch lange nicht explizit verboten. Allerdings sollte ja wohl jeder in der Lage sein zu merken wenn der Akku nicht mal mehr einen Tag hält in die Einstellungen zu schauen, welche App denn so am Akku zieht.

      • XcodeGhost, nicht XKeyGhost. Chinesische App-Entwickler haben eine modifizierte Version von Xcode geladen die nicht von Apple stammt. Das war der Angriffsvektor und der einzige Vorfall dieser Art im App Store.

        Im Play Store kommt das häufiger vor. Da muss ich mir nicht auf russischen Seiten gecrackte Apps besorgen, offizieller Store reicht:
        https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

        Auf iOS gab es früher diverse Malware die Lücken in APIs oder Rendering Engines ausgenutzt haben um auf das System zu gelangen. Ganz am Anfang konnte man auf eine Website gehen um das Gerät mit einem Jailbreak zu versehen, das wurde durch einen Bug in WebKit ermöglicht. Spätestens mit Secure Enclave waren Dinge dieser Art nicht mehr Möglich.
        Danach gab es noch die Möglichkeit sich manuell durch das Synchronisieren mit iTunes schadhaften Code einzuhandeln (hier: https://www.usenix.org/conference/usenixsecurity14/technical-sessions/presentation/wang_tielei)
        Die letzten Jailbreaks funktionieren so. Allerdings sind hier mehrere manuelle Schritte nötig und der Nutzer muss dabei auf dem Gerät selbst sein Passwort eingeben.

        • Richard Rosner says:

          Genau der Artikel, den du verlinkst, ist so ziemlich die Definition von sinnloser Panikmache.
          Man will Apps gefunden haben, die auf eine scheinbar sehr kleine Nutzergruppen abziehlen, die scheinbar nichts anderes tun als den Bildschirm über die Eingabehilfe zu überwachen.
          Dafür muss ebenfalls eine ausdrückliche Warnung ignoriert werden. Außerdem habe ich in dem Artikel weder Aussagen zur Anzahl downloads, noch zur Dauer, wie lange sie eingestellt waren gefunden. Was vermuten lässt dass sie beide verschwindend gering waren.
          Das ist halt der gewaltige Unterschied zwischen dem, was im Play Store laden kann und den einmaligen Angriff von XcoreGhost, wobei dieser nur der mit abstand prominenteste und weitreichendste Vorfall in jüngster Zeit ist: wenn etwas im Play Store landet, sind es Apps, die schon dubios aussehen und nur eine sehr kleine Zielgruppe erreichen. Bei XcoreGhost wurden mal eben Dutzende der in China am weitesten verbreiteten Apps infiziert. Apple hat anfangs zwar nur 25 zugegeben, andere gehen von mehreren hundert oder gar tausend aus. Unter ihren WeChat, das WhatsApp Chinas. Was besonders schlimm ist, da WeChat meines Wissens deutlich umfangreicher ist als andere Messenger und auch Zahlungen erlaubt.

    • So ist es. Am Ende lässt die Webseite das Gerät nicht starten sondern die Rendering Engine friert durch einen Bug ein. Der Watcher Prozess erkennt das und lässt das Gerät neu starten, so dass man das nicht händisch machen muss.

      • Richard Rosner says:

        Das ist aber nicht die schlauste Vorgehensweise. Die Rendering Engine dürfte niemals das komplette Gerät lahm legen können, sondern sich im Ernstfall selbst kanibalisieren und abschießen. Alles andere ließe sich prinzipiell für tiefergehende Angriffe nutzen.
        Die beste Handhabung habe ich von FF gesehen, auch mobil: irgendwie schafft FF es, den Hintergrund innerhalb kürzester Zeit anzuzeigen.
        Chrome Dev unter Windows scheint einfach den Rendering Prozess abzuschießen, weicher neu gestartet wird und nach ein paar Sekunden wieder abgeschossen wird, wenn man den Tab nicht schließt.
        Chrome Dev unter Android läuft dann etwas zäh, der Rest des Systems wird nicht beeinflusst.
        Beide Chrome Dev varianten scheinen aber nur aufgrund zahlreicher Flags schlechter zu reagieren, Chrome stable unter Android verhält sich wie Firefox.

        Warum schafft es also Apple seit Jahren nicht, Safari so auszulegen? Jedes Jahr aufs neue kommt genau so ein Bug, der entweder über eine manipulierte Webseite oder bestimmte Zeichen in iMessage das Gerät abstürzen lassen. Kein anderes Betriebssystem und kein anderer Browser den ich kenne, hat ein solches Problem. Warum schafft es Apple also nicht einfach mal robuster zu programmieren und fixen lieber jedes Jahr aufs neue im Sommer so ziemlich das gleiche Problem erneut? Ist das so viel verlangt, von der Konkurrenz zu lernen, wie man sowas macht?

  12. XcodeGhost, nicht XKeyGhost. Chinesische App-Entwickler haben eine modifizierte Version von Xcode geladen die nicht von Apple stammt. Das war der Angriffsvektor und der einzige Vorfall dieser Art im App Store.

    Im Play Store kommt das häufiger vor. Da muss ich mir nicht auf russischen Seiten gecrackte Apps besorgen, offizieller Store reicht:
    https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

    Auf iOS gab es früher diverse Malware die Lücken in APIs oder Rendering Engines ausgenutzt haben um auf das System zu gelangen. Ganz am Anfang konnte man auf eine Website gehen um das Gerät mit einem Jailbreak zu versehen, das wurde durch einen Bug in WebKit ermöglicht. Spätestens mit Secure Enclave waren Dinge dieser Art nicht mehr Möglich.
    Danach gab es noch die Möglichkeit sich manuell durch das Synchronisieren mit iTunes schadhaften Code einzuhandeln (hier: https://www.usenix.org/conference/usenixsecurity14/technical-sessions/presentation/wang_tielei)
    Die letzten Jailbreaks funktionieren so. Allerdings sind hier mehrere manuelle Schritte nötig und der Nutzer muss dabei auf dem Gerät selbst sein Passwort eingeben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.