15行代码让苹果设备崩溃,最新的iOS 12也无法幸免

2018 年 9 月 18 日 InfoQ
译者 | 无明
编辑 | 覃云 - 前端之巅

国外安全研究人员 Sabri Haddouche 发现了一个只需几行代码就可以让 iPhone 崩溃并重启的方法。

Sabri Haddouche 在 GitHub 上发布了一个示例网页,只有 15 行代码,如果在 iPhone 或 iPad 上访问这个页面,就会崩溃并重启。在 macOS 上使用 Safari 打开该页面也会出现浏览器挂起,无法动弹。

这段代码利用了 iOS Web 渲染引擎 WebKit 中的一个漏洞。Haddouche 解释说,在 CSS 过滤器属性中嵌套大量元素(如<div>),就会耗尽设备的资源,并导致内核崩溃,然后关闭并重新启动操作系统。

Haddouche 说,“任何在 iOS 上渲染 HTML 的应用程序都会受到影响”。他警告说,任何人都可以通过 Facebook 或 Twitter 上向你发送链接,或者通过电子邮件发送链接,如果你打开了这些连接或者访问了任何包含这段代码的网页,就会中招。

下面是 Haddouche 的推文截图:

他在推文中给出了网页链接和 GitHub 代码链接,并事先给出警告,如果点了那个网页链接后果自负。

经安全公司 Malwarebytes 的证实,最新的 iOS 12 测试版在单击这个链接时也会发生挂起。

即使有些“幸运”的设备不会发生崩溃,也会重新启动用户界面。

好在这个攻击虽然令人讨厌,但它不能用来运行恶意代码,也就是说无法利用它来运行恶意软件,也无法通过这种方式来盗取数据。但目前没有简单的方法可以防止攻击发生。只要单击链接或打开 HTML 电子邮件,这段代码就会让设备崩溃。

Haddouche 向苹果公司报告了这个漏洞,苹果公司表示正在调查中,还没有发言人就此事发表评论。

这里给出带有这段代码的网页链接,有好奇心的人在选择跳转链接之前请慎重考虑:

https://t.co/4Ql8uDYvY3

下面是这段代码的 GitHub 链接:

https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea

打开这个 GitHub 页面,可以看到代码如下:

上面红色部分是一张经过 base64 编码的图片,下面是很多<div>标签。正如 Haddouche 所说,就是利用了在过滤器属性中嵌入大量 HTML 元素标签来消耗设备的资源,从而达到攻击的目的。



在进入机器学习和人工智能的时代,大量数据的汇集、廉价的存储、弹性计算和算法的进步,尤其是在深度学习的研究,促使企业的基础架构平台不断创新,为智能系统提供构建模块。12 月 7 日北京 ArchSummit 会议,正在邀请菜鸟网络、百度、Netflix 的专家来分享相应的技术沉淀,希望对大家有帮助。

阅读原文,了解更多详情!


登录查看更多
0

相关内容

iOS 是苹果公司为其移动产品开发的操作系统。它主要给 iPhone、iPod touch、iPad 以及 Apple TV 使用。原本这个系统名为 iPhone OS,直到2010年6月7日 WWDC 大会上宣布改名为 iOS。
【干货书】现代数据平台架构,636页pdf
专知会员服务
250+阅读 · 2020年6月15日
【实用书】Python爬虫Web抓取数据,第二版,306页pdf
专知会员服务
115+阅读 · 2020年5月10日
最新《分布式机器学习》论文综述最新DML进展,33页pdf
专知会员服务
117+阅读 · 2019年12月26日
【GitHub实战】Pytorch实现的小样本逼真的视频到视频转换
专知会员服务
35+阅读 · 2019年12月15日
计算机视觉在制造业应用的十大最新案例
极市平台
28+阅读 · 2019年8月25日
I2P - 适用于黑客的Android应用程序
黑白之道
28+阅读 · 2019年3月6日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
已删除
AI科技评论
4+阅读 · 2018年8月12日
能不能进苹果做 AI,就看这 20 道面试题了
AI研习社
7+阅读 · 2018年5月3日
实战 | 40行代码实现人脸识别
七月在线实验室
3+阅读 · 2018年3月7日
iOS高级调试&逆向技术
CocoaChina
3+阅读 · 2017年7月30日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
Arxiv
135+阅读 · 2018年10月8日
Doubly Attentive Transformer Machine Translation
Arxiv
4+阅读 · 2018年7月30日
Arxiv
8+阅读 · 2018年5月1日
Arxiv
13+阅读 · 2018年4月18日
Arxiv
4+阅读 · 2018年4月17日
Arxiv
10+阅读 · 2018年2月4日
VIP会员
相关VIP内容
相关资讯
计算机视觉在制造业应用的十大最新案例
极市平台
28+阅读 · 2019年8月25日
I2P - 适用于黑客的Android应用程序
黑白之道
28+阅读 · 2019年3月6日
威胁情报驱动:F3EAD 之利用
计算机与网络安全
4+阅读 · 2018年12月28日
已删除
AI科技评论
4+阅读 · 2018年8月12日
能不能进苹果做 AI,就看这 20 道面试题了
AI研习社
7+阅读 · 2018年5月3日
实战 | 40行代码实现人脸识别
七月在线实验室
3+阅读 · 2018年3月7日
iOS高级调试&逆向技术
CocoaChina
3+阅读 · 2017年7月30日
这位程序员为什么要弃用Facebook?
CSDN
5+阅读 · 2017年7月14日
相关论文
Arxiv
135+阅读 · 2018年10月8日
Doubly Attentive Transformer Machine Translation
Arxiv
4+阅读 · 2018年7月30日
Arxiv
8+阅读 · 2018年5月1日
Arxiv
13+阅读 · 2018年4月18日
Arxiv
4+阅读 · 2018年4月17日
Arxiv
10+阅读 · 2018年2月4日
Top
微信扫码咨询专知VIP会员