首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

iPhone 用户别点此类链接,直接关机

这两天,宅友“雷锋”给雷锋网编辑发过来一条神秘的链接(对方真的叫雷锋):

身为安全媒体的从业者,我的警惕性还是很高的,得先问清楚后果~

得到只是会重启的答案后,颤颤巍巍的点了测试链接。

如“雷锋”所说,iPhone 瞬间重启。

其实,最先发现这个bug的,是一位名叫“Sabri”的推特网友,他找到了iOS系统的漏洞,只需要 15 行 CSS 代码,就可以让一台 iPhone 崩溃重启。在推特中,他严正声明:点之前想好了,重启可别怪我!

据“雷锋”自己的尝试,只要在 CSS 的 Backdrop-filter 里嵌入大量元素,比如

标签,就可以耗尽设备的所有资源,造成内核错误 (Kernel Panic) ,这时,就会造成关闭操作系统并重启,以避免设备受到伤害。

其实,国外的网友们也早已开始各种花式尝试了。

TechCrunch网站人员用自己的iOS 11.4.1系统版本的手机做了测试,访问链接后 iPhone 真的崩溃重启了。而恶意软件侦测产品提供商 Malwarebytes 的 Mac & Mobile 的主管 Thomas Reed 也证实,苹果的最新系统 iOS 12 测试版在点开链接之后,也被冻结了。

也就是说,从 iOS11.4.1 到 iOS12 系统的 iPhone 都会在点开链接后重启,无论是 iPhone X 还是 iPhone 5,甚至是 Apple Watch ,统统都会受影响。以下是来自外国网友的实测小视频:

▲iPhone X

▲ iPhone 5

▲Apple Watch

那这个漏洞会不会被搞黑产的利用?

“雷锋”的回答是,不会,如果会就不告诉媒体了,直接找苹果要赏金了!

那这个 bug 真的一点也没用吗?只能是闲来无事来消遣一下?

安全研究人员认为,攻击虽然不能用于运行恶意代码,但如果有人在电子邮件中填充此链接,则可能导致重启 iPhone 并冻结 Mac。

这些代码利用了 Web 呈现引擎 WebKit 中的漏洞,该漏洞能被所有应用程序和浏览器使用。 该代码使用嵌套的div实现了一种称为背景过滤器的CSS效果。

Backdrop-filter是一个相当新的CSS属性,可以模糊元素背后的区域。

正因为这项任务涉及大量资源消耗,所以能导致移动操作系统崩溃。

“该攻击使用-webkit-backdrop-filter CSS属性中的弱点。 通过使用具有该属性的嵌套div,我们可以快速消耗所有图形资源并崩溃或冻结操作系统。 该攻击不需要启用Javascript,因此它也适用于Mail。“

漏洞发现者 Sabri 在接受 国外科技媒体 The Bleeping Computer 的采访时,透露攻击虽然不能用于运行恶意代码,但如果有人在电子邮件中填充此链接,则可能导致重启 iPhone 并冻结 Mac。

目前,Sabri已向Apple通报了此漏洞,但iPhone方面还没有找到攻击的解决方案,

雷锋网编辑尝试把这个链接发送给了圈外的几个朋友,大家都不约而同的问了同一个问题,这个链接到底长啥样,我们好记住它。

答案是:链接是可以百变的,因为目前网址的源码已经被公开放到 GitHub 上面了,所以制作者可以任意生成一个独一无二的链接。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180919C1HPJG00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券