如何用15行CSS代碼,讓一台iPhone崩潰重啟?

如何用15行CSS代碼,讓一台iPhone崩潰重啟?

來自專欄量子位43 人贊了文章

黑栗子 發自 麥蒿寺

量子位 出品 | 公眾號 QbitAI

有人找到了iOS系統的弱點

TechCrunch報道,一個名叫Sabri Haddouche的網路安全研究人員發推特說,只要15行CSS代碼,就可以讓一台iPhone崩潰重啟

WebKit的鍋

Haddouche介紹,iOS用的網頁排版引擎WebKit有個弱點,而這個引擎是蘋果要求,所有app所有瀏覽器必須用的。

只要在CSS的Backdrop-filter里嵌入大量元素,比如<div>標籤,就可以耗盡設備的所有資源,造成內核錯誤 (Kernel Panic) 。

後果就是,關閉操作系統並重啟,以避免設備受到傷害。

他說,只要在iOS上渲染了HTML,這15行代碼就有效。

那麼,別人隨便發條微信或微博,你手一滑點開來看,手機就會重啟。

TechCrunch記者,用iOS 11.4.1當小白鼠,親測代碼,發現真的崩潰重啟了。

惡意軟體偵測產品提供商Malwarebytes的Mac和移動端負責人Thomas Reed也證實,iOS 12測試版,點開鏈接之後,就會被凍住 (Frozen) 。

不過,也有些設備比較走運,不會崩潰只會重啟,註銷 (Respring) 回用戶界面。

暫時還安全

和平的是,目前這樣的攻擊還運行不了惡意代碼。也就是說,惡意軟體不會那麼容易就運行起來,數據也不會那麼容易就被偷。

不過,就算手機只是崩潰重啟,多來幾次也很難受。這類代碼的攻擊,很難預防。

Haddouche已經聯繫了蘋果,但對方還沒有回復。

客官試一試?

Haddouche提供了代碼,好奇 (抖M) 的各位,也可以自己嘗試一下。

畢竟,只是重啟一次,並無大礙。

(量子位還沒有試過。)

GitHub傳送門:

gist.github.com/pwnsdx/

歡迎大家關注我們的專欄:量子位 - 知乎專欄

誠摯招聘

量子位正在招募編輯/記者,工作地點在北京中關村。期待有才氣、有熱情的同學加入我們!相關細節,請在量子位公眾號(QbitAI)對話界面,回復「招聘」兩個字。

量子位 QbitAI· 頭條號簽約作者

?? ? 追蹤AI技術和產品新動態


推薦閱讀:

css簡單布局及居中方法
提高CSS網站打開速度優化工具
2018-7-29 css17- 定位position
如何編寫易於拓展與維護的 CSS 代碼
CSS自定義屬性 —— 別說你懂CSS相對單位

TAG:CSS | iOS | 惡意軟體 |