Il y a un lien qui fait le tour des médias sociaux aujourd’hui qui peut faire planter presque n’importe quel smartphone, juste en l’ouvrant dans votre navigateur.
Le bien nommé crashsafari.com fait ce qu’il dit sur la boîte – il fait planter le navigateur en écrivant des milliers de caractères dans la barre d’adresse chaque seconde, épuisant ainsi la mémoire.
L’attaque n’est que quatre lignes de code, et peut faire planter un iPhone ou un téléphone Android à la fois Safari ou Chrome, ou redémarrer l’ensemble du téléphone lui-même. Elle fonctionne même contre certains navigateurs de bureau, en fonction de la quantité de RAM et de CPU dont dispose la machine.
Elle exploite la fonction history.pushState de HTML5, une fonction JavaScript utilisée par de nombreuses applications à page unique pour mettre à jour la barre d’adresse, même si la page sous-jacente visualisée ne change pas.
Les gens envoient le lien sur les médias sociaux déguisé par une URL courte, pour inciter les autres à l’ouvrir et les empêcher d’ouvrir leur navigateur jusqu’à ce qu’un redémarrage soit effectué.
Le bug n’est pas exactement malveillant – il ne casse rien et peut être facilement rectifié, mais il est ennuyeux. Il est dans la même veine que le bug de l’iPhone ” puissance effective ” qui permettait aux utilisateurs d’envoyer un message à leurs amis qui empêchait le lancement de l’application Messages.
➤ crashsafari.com