黑栗子
有人找到了iOS系统的弱点。
TechCrunch报道,一个名叫Sabri Haddouche的网络安全研究人员发推特说,只要15行CSS代码,就可以让一台iPhone崩溃重启。
WebKit的锅
Haddouche介绍,iOS用的网页排版引擎WebKit有个弱点,而这个引擎是苹果要求,所有app所有浏览器必须用的。
只要在CSS的Backdrop-filter里嵌入大量元素,比如<div>标签,就可以耗尽设备的所有资源,造成内核错误 (Kernel Panic) 。
后果就是,关闭操作系统并重启,以避免设备受到伤害。
他说,只要在iOS上渲染了HTML,这15行代码就有效。
那么,别人随便发条微信或微博,你手一滑点开来看,手机就会重启。
TechCrunch记者,用iOS 11.4.1当小白鼠,亲测代码,发现真的崩溃重启了。
恶意软件侦测产品提供商Malwarebytes的Mac和移动端负责人Thomas Reed也证实,iOS 12测试版,点开链接之后,就会被冻住 (Frozen) 。
不过,也有些设备比较走运,不会崩溃只会重启,注销 (Respring) 回用户界面。
暂时还安全
和平的是,目前这样的攻击还运行不了恶意代码。也就是说,恶意软件不会那么容易就运行起来,数据也不会那么容易就被偷。
不过,就算手机只是崩溃重启,多来几次也很难受。这类代码的攻击,很难预防。
Haddouche已经联系了苹果,但对方还没有回复。
客官试一试?
Haddouche提供了代码,好奇 (抖M) 的各位,也可以自己尝试一下。
毕竟,只是重启一次,并无大碍。
GitHub传送门:
https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
