如何用15行CSS代碼,讓一台iPhone崩潰重啟?
來自專欄量子位43 人贊了文章
黑栗子 發自 麥蒿寺
量子位 出品 | 公眾號 QbitAI
有人找到了iOS系統的弱點。
TechCrunch報道,一個名叫Sabri Haddouche的網路安全研究人員發推特說,只要15行CSS代碼,就可以讓一台iPhone崩潰重啟。
WebKit的鍋
Haddouche介紹,iOS用的網頁排版引擎WebKit有個弱點,而這個引擎是蘋果要求,所有app所有瀏覽器必須用的。
只要在CSS的Backdrop-filter里嵌入大量元素,比如<div>標籤,就可以耗盡設備的所有資源,造成內核錯誤 (Kernel Panic) 。
後果就是,關閉操作系統並重啟,以避免設備受到傷害。
他說,只要在iOS上渲染了HTML,這15行代碼就有效。
那麼,別人隨便發條微信或微博,你手一滑點開來看,手機就會重啟。
TechCrunch記者,用iOS 11.4.1當小白鼠,親測代碼,發現真的崩潰重啟了。
惡意軟體偵測產品提供商Malwarebytes的Mac和移動端負責人Thomas Reed也證實,iOS 12測試版,點開鏈接之後,就會被凍住 (Frozen) 。
不過,也有些設備比較走運,不會崩潰只會重啟,註銷 (Respring) 回用戶界面。
暫時還安全
和平的是,目前這樣的攻擊還運行不了惡意代碼。也就是說,惡意軟體不會那麼容易就運行起來,數據也不會那麼容易就被偷。
不過,就算手機只是崩潰重啟,多來幾次也很難受。這類代碼的攻擊,很難預防。
Haddouche已經聯繫了蘋果,但對方還沒有回復。
客官試一試?
Haddouche提供了代碼,好奇 (抖M) 的各位,也可以自己嘗試一下。
畢竟,只是重啟一次,並無大礙。
(量子位還沒有試過。)
GitHub傳送門:
https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea— 完 —
歡迎大家關注我們的專欄:量子位 - 知乎專欄
誠摯招聘
量子位正在招募編輯/記者,工作地點在北京中關村。期待有才氣、有熱情的同學加入我們!相關細節,請在量子位公眾號(QbitAI)對話界面,回復「招聘」兩個字。
量子位 QbitAI· 頭條號簽約作者
?? ? 追蹤AI技術和產品新動態
推薦閱讀:
※css簡單布局及居中方法
※提高CSS網站打開速度優化工具
※2018-7-29 css17- 定位position
※如何編寫易於拓展與維護的 CSS 代碼
※CSS自定義屬性 —— 別說你懂CSS相對單位