リンクをクリックするとiPhoneをクラッシュさせる悪質サイトが登場

By Nathan Borror

リンク先URLをクリック(タップ)してサイトにアクセスするだけで、iPhoneをクラッシュさせるという悪質なサイト「CrashSafari.com」が海外で大流行中です。

Watch out for this new URL that will crash your iPhone and Mac Safari if you click it | 9to5Mac
http://9to5mac.com/2016/01/25/safari-mac-iphone-ipad-crash/

Clickers Beware: 'CrashSafari' Links Will Kill Your iPhone - NBC News
http://www.nbcnews.com/tech/security/clickers-beware-crashsafari-links-will-kill-your-iphone-n503941

CrashSafari.comは、iOS端末のブラウザSafariをフリーズさせて端末を強制的に再起動に追い込むというサービスで、サイトの名前がいたずら目的そのまんまというある意味分かりやすいサービスです。

これまでにもiPhoneなどのiOS端末には特定のテキスト受信ムービー視聴でクラッシュするというバグがありましたが、CrashSafari.comは、端末やソフトウェアのバグを突くものではなく、Javascriptを使った単純な仕組みが採用されており、iOS端末以外のAndroid端末やPCでさえ、フリーズする危険性が十分あります。

仕組みはCrashSafari.comのヘッダータイトルに埋め込まれたJavaScriptがURLに数字を付加してリロードし履歴に入れ続けるというシンプルなもの。


CrashSafari.comにアクセスすると、こんな感じでURLの末尾に数字がどんどんと追加され、強制的に処理させる仕組みで、負荷に耐えられなくなると端末がフリーズするという極めて単純なものです。


すでにCrashSafari.comは、スマートフォンのメールやSNS投稿を通じて世界的に大流行の兆しがあるため、もしも、リンクURLを発見してもクリックしないのが無難です。ただし、CrashSafari.comのリンクURLは「crashsafari.com」という分かりやすいものとは限らず、t.coBitlyなどの短縮URLサービスを利用して、URLが偽装される可能性は十分あるので、Twitterなどの短縮URLを安易にクリックしないように注意が必要です。

なお、同様に、 crashchrome.comという名前のサイトも登場しており、同じ仕組みを採用した悪質なサイトが今後、増殖する可能性もありそうです。

◆2016/01/29 追記
CrashSafari.comを作ったのは、サンフランシスコ在住の技術者であることが分かりました。

Hack Brief: Don't Be Trolled by This iPhone-Crashing Link Meme | WIRED
http://www.wired.com/2016/01/hack-brief-dont-be-trolled-by-this-iphone-crashing-link-meme/?mbid=social_twitter

CrashSafari.comを作ったのは22歳のセキュリティソフトウェアエンジニアのマシュー・ブライアント氏で、暇つぶしにジョークとして作ったところ、Twitterの短縮リンクという形で拡散してしまったとのこと。

なお、CrashSafari.comの仕組みを解説するページも登場。

Do not share the link that crashes iPhones and Mac browsers – Naked Security
https://nakedsecurity.sophos.com/2016/01/26/dont-share-the-link-that-crashes/

URLに文字列を追加した上で、「history.pushState()」というコマンドを使ってブラウザの履歴に追加していき、メモリを使い切るという仕組みだそうです。

・関連記事
iPhoneで特定のテキストを受信するとアプリがクラッシュしたり端末が再起動したりしてしまうバグが発見される - GIGAZINE

特定の16文字をアドレスバーに入力するとGoogle Chromeがクラッシュするバグが見つかる - GIGAZINE

iOS 7で再生するとブルースクリーンを表示してクラッシュさせるムービー - GIGAZINE

特定の8文字を送受信するとSkypeがクラッシュしてしまうバグが発見される - GIGAZINE

AndroidのブラウザをGoogleのマップとキャッシュでクラッシュさせる手口が登場 - GIGAZINE

Mac版Chromeで13文字のアッシリア語を表示させるとタブがクラッシュするバグ発生 - GIGAZINE

Internet Explorerを一行でクラッシュさせてしまうコードが登場 - GIGAZINE

in モバイル,   ネットサービス, Posted by logv_to