15行代碼讓蘋果設備崩潰，最新的iOS 12也無法倖免

譯者 | 無明

編輯 | 覃雲 - 前端之巔

國外安全研究人員 Sabri Haddouche 發現了一個只需幾行代碼就可以讓 iPhone 崩潰並重啟的方法。

Sabri Haddouche 在 GitHub 上發布了一個示例網頁，只有 15 行代碼，如果在 iPhone 或 iPad 上訪問這個頁面，就會崩潰並重啟。在 macOS 上使用 Safari 打開該頁面也會出現瀏覽器掛起，無法動彈。

這段代碼利用了 iOS Web 渲染引擎 WebKit 中的一個漏洞。Haddouche 解釋說，在 CSS 過濾器屬性中嵌套大量元素（如

），就會耗盡設備的資源，並導致內核崩潰，然後關閉並重新啟動操作系統。

Haddouche 說，「任何在 iOS 上渲染 HTML 的應用程序都會受到影響」。他警告說，任何人都可以通過 Facebook 或 Twitter 上向你發送鏈接，或者通過電子郵件發送鏈接，如果你打開了這些連接或者訪問了任何包含這段代碼的網頁，就會中招。

下面是 Haddouche 的推文截圖：

他在推文中給出了網頁鏈接和 GitHub 代碼鏈接，並事先給出警告，如果點了那個網頁鏈接後果自負。

經安全公司 Malwarebytes 的證實，最新的 iOS 12 測試版在單擊這個鏈接時也會發生掛起。

即使有些「幸運」的設備不會發生崩潰，也會重新啟動用戶界面。

好在這個攻擊雖然令人討厭，但它不能用來運行惡意代碼，也就是說無法利用它來運行惡意軟體，也無法通過這種方式來盜取數據。但目前沒有簡單的方法可以防止攻擊發生。只要單擊鏈接或打開 HTML 電子郵件，這段代碼就會讓設備崩潰。

Haddouche 向蘋果公司報告了這個漏洞，蘋果公司表示正在調查中，還沒有發言人就此事發表評論。

這裡給出帶有這段代碼的網頁鏈接，有好奇心的人在選擇跳轉鏈接之前請慎重考慮：

https://t.co/4Ql8uDYvY3

https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea

打開這個 GitHub 頁面，可以看到代碼如下：

上面紅色部分是一張經過 base64 編碼的圖片，下面是很多

標籤。正如 Haddouche 所說，就是利用了在過濾器屬性中嵌入大量 HTML 元素標籤來消耗設備的資源，從而達到攻擊的目的。

在進入機器學習和人工智慧的時代，大量數據的彙集、廉價的存儲、彈性計算和演算法的進步，尤其是在深度學習的研究，促使企業的基礎架構平台不斷創新，為智能系統提供構建模塊。12 月 7 日北京 ArchSummit 會議，正在邀請菜鳥網路、百度、Netflix 的專家來分享相應的技術沉澱，希望對大家有幫助。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！