示意圖,與新聞事件無關。
安全研究人員Sabri Haddouche上周六(9/15)藉由Twitter公布了一段針對iOS裝置的攻擊程式,當iPhone或iPad造訪含有該程式碼的網頁時,就會造成核心錯誤(Kernel Panic),導致系統重新啟動裝置。
Haddouche已將此一只有15行的攻擊程式碼張貼在GitHub上,該程式利用了瀏覽器引擎WebKit的弱點,藉由在CSS的背景過濾器中嵌入大量的
標籤,消耗了裝置的所有資源,而造成核心錯誤,遭遇核心錯誤的系統通常會重新啟動以避免造成傷害。
WebKit為蘋果Safari瀏覽器所使用的引擎,因此不只是iOS裝置受到波及,該程式碼也會讓macOS上的Safari瀏覽器凍結。
Haddouche向Tech Crunch透露,在iOS上任何可描繪HTML的服務都會受到影響,代表不管使用者收到的是臉書、Twitter或電子郵件中的連結,還是造訪一個含有該程式碼的網頁,都會發生iOS裝置重新啟動的狀況。
藉由15行程式碼就攻陷iOS裝置還不是Haddouche最得意的作品,他在一周前曾經只用一行JavaScript就讓Chrome瀏覽器與Chrome OS凍結。
線