CSS惡意攻擊僅這15行程序代碼就可讓iOS設備重啟

安全研究人員Sabri Haddouche上周六（9/15）藉由Twitter公布了一段針對iOS設備的攻擊程序，當iPhone或iPad訪問含有該程序代碼的網頁時，就會造成核心錯誤（ Kernel Panic），導致系統重新啟動設備。

Haddouche已將該只有15行的攻擊程序代碼發布在GitHub上，該程序利用了瀏覽器引擎WebKit的弱點，藉由在CSS的背景過濾器中嵌入大量的

標籤，消耗了設備的所有資源，而造成核心錯誤，遭遇核心錯誤的系統通常會重新啟動以避免造成傷害。

WebKit為蘋果Safari瀏覽器所使用的引擎，因此不只是iOS設備受到波及，該程序代碼也會讓macOS上的Safari瀏覽器凍結。

Haddouche向Tech Crunch透露，在iOS上任何可描繪HTML的服務都會受到影響，代表不管用戶收到的是臉書、Twitter或電子郵件中的連接，還是訪問一個含有該程序代碼的網頁，都會發生iOS設備重新啟動的狀況。

藉由15行程序代碼就攻陷iOS設備還不是Haddouche最得意的作品，他在一周前曾經只用一行JavaScript就讓Chrome瀏覽器與Chrome OS凍結。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！