iPhone 用户别点此类链接,直接关机

文章来源: https://www.leiphone.com/news/201809/AOnS1KGLxqG4BR4Y.html, 本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

这两天,宅友“雷锋”给雷锋网编辑发过来一条神秘的链接(对方真的叫雷锋):

http://www.0daybank.org/?p=15307(先不要点)

iPhone 用户别点此类链接,直接关机

身为安全媒体的从业者,我的警惕性还是很高的,得先问清楚后果~

得到只是会重启的答案后,颤颤巍巍的点了测试链接。

如“雷锋”所说,iPhone 瞬间重启。

其实,最先发现这个bug的,是一位名叫“Sabri”的推特网友,他找到了 iOS 系统的漏洞,只需要 15 行 CSS 代码,就可以让一台 iPhone 崩溃重启。在推特中,他严正声明:点之前想好了,重启可别怪我!

iPhone 用户别点此类链接,直接关机

据“雷锋”自己的尝试,只要在 CSS 的 Backdrop-filter 里嵌入大量元素,比如<div>标签,就可以耗尽设备的所有资源,造成内核错误 (Kernel Panic) ,这时,就会造成关闭操作系统并重启,以避免设备受到伤害。

iPhone 用户别点此类链接,直接关机

其实,国外的网友们也早已开始各种花式尝试了。

TechCrunch网站人员用自己的iOS 11.4.1系统版本的手机做了测试,访问链接后 iPhone 真的崩溃重启了。而恶意软件侦测产品提供商 Malwarebytes 的 Mac & Mobile 的主管 Thomas Reed 也证实,苹果的最新系统 iOS 12 测试版在点开链接之后,也被冻结了。

也就是说,从 iOS11.4.1 到 iOS12 系统的 iPhone 都会在点开链接后重启,无论是 iPhone X 还是 iPhone 5,甚至是 Apple Watch ,统统都会受影响。以下是来自外国网友的实测小视频:

iPhone 用户别点此类链接,直接关机

▲iPhone X

iPhone 用户别点此类链接,直接关机

▲ iPhone 5

iPhone 用户别点此类链接,直接关机

▲Apple Watch

那这个漏洞会不会被搞黑产的利用?

“雷锋”的回答是,不会,如果会就不告诉媒体了,直接找苹果要赏金了!

iPhone 用户别点此类链接,直接关机

那这个 bug 真的一点也没用吗?只能是闲来无事来消遣一下?

安全研究人员认为,攻击虽然不能用于运行恶意代码,但如果有人在电子邮件中填充此链接,则可能导致重启 iPhone 并冻结 Mac。

这些代码利用了 Web 呈现引擎 WebKit 中的漏洞,该漏洞能被所有应用程序和浏览器使用。 该代码使用嵌套的div实现了一种称为背景过滤器的CSS效果。

Backdrop-filter是一个相当新的CSS属性,可以模糊元素背后的区域。

正因为这项任务涉及大量资源消耗,所以能导致移动操作系统崩溃。

“该攻击使用-webkit-backdrop-filter CSS属性中的弱点。 通过使用具有该属性的嵌套div,我们可以快速消耗所有图形资源并崩溃或冻结操作系统。 该攻击不需要启用Javascript,因此它也适用于Mail。“

漏洞发现者 Sabri 在接受 国外科技媒体 The Bleeping Computer 的采访时,透露攻击虽然不能用于运行恶意代码,但如果有人在电子邮件中填充此链接,则可能导致重启 iPhone 并冻结 Mac。

目前,Sabri已向Apple通报了此漏洞,但iPhone方面还没有找到攻击的解决方案,

雷锋网编辑尝试把这个链接发送给了圈外的几个朋友,大家都不约而同的问了同一个问题,这个链接到底长啥样,我们好记住它。

答案是:链接是可以百变的,因为目前网址的源码已经被公开放到 GitHub 上面了,所以制作者可以任意生成一个独一无二的链接。

iPhone 用户别点此类链接,直接关机

目前,雷锋网 (公众号:雷锋网) 发现GitHub上的原链接已经被微信识别出来了,无法点开,但是由于它可以“化妆”成各种模样,所以目前大家还是小心,来源不明的链接,慎点,尤其是吃鸡到关键时刻,对手可能以此来搞你!

雷锋网原创文章,未经授权禁止转载。详情见 转载须知

iPhone 用户别点此类链接,直接关机

以上所述就是小编给大家介绍的《iPhone 用户别点此类链接,直接关机》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

为你推荐:

查看所有标签

码农书籍
交互式计算机图形学:基于OpenGL着色器的自顶向下方法

交互式计算机图形学:基于OpenGL着色器的自顶向下方法

Edward Angel、Dave Shreiner / 电子工业出版社 / 2012-5 / 75.00元

《交互式计算机图形学:基于OpenGL着色器的自顶向下方法(第6版)》采用自顶向下的方法并辅以面向编程的方式,基于现代可编程GPU的着色器编程,使用C++语言、OpenGL着色语言(GLSL)并结合OpenGL系统地介绍了现代计算机图形学的核心概念、原理和方法。《交互式计算机图形学:基于OpenGL着色器的自顶向下方法(第6版)》是作者多年来教学与科研工作的总结,涵盖了基于OpenGL着色器的交互式图形编程、三维可编程绘制流水线、变换与观察、光照与明暗绘制、曲线曲面建模等基本的计算机图形学内容以及离散技术、层级建模、过程建模、光线跟踪、并行绘制和体绘制等高级内容,并为读者进一步深入学习和研究,在每章后面提供了相关的建议阅读资料。《交互式计算机图形学:基于OpenGL着色器的自顶向下方法(第6版)》第六版进一步反映了计算机图形学的最新发展现状,面向图形...

URL 编码/解码
URL 编码/解码

URL 编码/解码

MD5 加密
MD5 加密

MD5 加密工具

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具