如何用15行CSS代碼，讓一台iPhone崩潰重啟？

來自專欄量子位43 人贊了文章

黑栗子 發自 麥蒿寺

量子位 出品 | 公眾號 QbitAI

有人找到了iOS系統的弱點。

TechCrunch報道，一個名叫Sabri Haddouche的網路安全研究人員發推特說，只要15行CSS代碼，就可以讓一台iPhone崩潰重啟。

WebKit的鍋

Haddouche介紹，iOS用的網頁排版引擎WebKit有個弱點，而這個引擎是蘋果要求，所有app所有瀏覽器必須用的。

只要在CSS的Backdrop-filter里嵌入大量元素，比如<div>標籤，就可以耗盡設備的所有資源，造成內核錯誤 (Kernel Panic) 。

後果就是，關閉操作系統並重啟，以避免設備受到傷害。

他說，只要在iOS上渲染了HTML，這15行代碼就有效。

那麼，別人隨便發條微信或微博，你手一滑點開來看，手機就會重啟。

TechCrunch記者，用iOS 11.4.1當小白鼠，親測代碼，發現真的崩潰重啟了。

惡意軟體偵測產品提供商Malwarebytes的Mac和移動端負責人Thomas Reed也證實，iOS 12測試版，點開鏈接之後，就會被凍住 (Frozen) 。

不過，也有些設備比較走運，不會崩潰只會重啟，註銷 (Respring) 回用戶界面。

暫時還安全

和平的是，目前這樣的攻擊還運行不了惡意代碼。也就是說，惡意軟體不會那麼容易就運行起來，數據也不會那麼容易就被偷。

不過，就算手機只是崩潰重啟，多來幾次也很難受。這類代碼的攻擊，很難預防。

Haddouche已經聯繫了蘋果，但對方還沒有回復。

客官試一試？

Haddouche提供了代碼，好奇 (抖M) 的各位，也可以自己嘗試一下。

畢竟，只是重啟一次，並無大礙。

(量子位還沒有試過。)

GitHub傳送門：

— 完 —

歡迎大家關注我們的專欄：量子位 - 知乎專欄

誠摯招聘

量子位正在招募編輯/記者，工作地點在北京中關村。期待有才氣、有熱情的同學加入我們！相關細節，請在量子位公眾號(QbitAI)對話界面，回復「招聘」兩個字。

量子位 QbitAI· 頭條號簽約作者

?? ? 追蹤AI技術和產品新動態