<dd id="yzu3f"><tr id="yzu3f"><kbd id="yzu3f"></kbd></tr></dd>

              黑基Web安全攻防班
              安基網 首頁 IT技術 手機數碼 查看內容

              iPhone 用戶別點此類鏈接,直接關機

              2018-9-20 08:24| 投稿: xiaotiger |來自: 互聯網

              摘要: 這兩天,宅友“雷鋒”給雷鋒網編輯發過來一條神秘的鏈接(對方真的叫雷鋒):http://www.0daybank.org/?p=15307(先不要點)身為安全媒體的從業者,我的警惕性還是很高的,得先問清楚后果~得到只是會重啟的答案后, ...

              這兩天,宅友“雷鋒”給雷鋒網編輯發過來一條神秘的鏈接(對方真的叫雷鋒):

              http://www.0daybank.org/?p=15307(先不要點)

              身為安全媒體的從業者,我的警惕性還是很高的,得先問清楚后果~

              得到只是會重啟的答案后,顫顫巍巍的點了測試鏈接。

              如“雷鋒”所說,iPhone 瞬間重啟。

              其實,最先發現這個bug的,是一位名叫“Sabri”的推特網友,他找到了iOS系統的漏洞,只需要 15 行 CSS 代碼,就可以讓一臺 iPhone 崩潰重啟。在推特中,他嚴正聲明:點之前想好了,重啟可別怪我!

              據“雷鋒”自己的嘗試,只要在 CSS 的 Backdrop-filter 里嵌入大量元素,比如

              標簽,就可以耗盡設備的所有資源,造成內核錯誤 (Kernel Panic) ,這時,就會造成關閉操作系統并重啟,以避免設備受到傷害。

              其實,國外的網友們也早已開始各種花式嘗試了。

              TechCrunch網站人員用自己的iOS 11.4.1系統版本的手機做了測試,訪問鏈接后 iPhone 真的崩潰重啟了。而惡意軟件偵測產品提供商 Malwarebytes 的 Mac & Mobile 的主管 Thomas Reed 也證實,蘋果的最新系統 iOS 12 測試版在點開鏈接之后,也被凍結了。

              也就是說,從 iOS11.4.1 到 iOS12 系統的 iPhone 都會在點開鏈接后重啟,無論是 iPhone X 還是 iPhone 5,甚至是 Apple Watch ,統統都會受影響。以下是來自外國網友的實測小視頻:

              iPhone X

              iPhone 5

              Apple Watch

              那這個漏洞會不會被搞黑產的利用?

              “雷鋒”的回答是,不會,如果會就不告訴媒體了,直接找蘋果要賞金了!

              那這個 bug 真的一點也沒用嗎?只能是閑來無事來消遣一下?

              安全研究人員認為,攻擊雖然不能用于運行惡意代碼,但如果有人在電子郵件中填充此鏈接,則可能導致重啟 iPhone 并凍結 Mac。

              這些代碼利用了 Web 呈現引擎 WebKit 中的漏洞,該漏洞能被所有應用程序和瀏覽器使用。 該代碼使用嵌套的div實現了一種稱為背景過濾器的CSS效果。

              Backdrop-filter是一個相當新的CSS屬性,可以模糊元素背后的區域。

              正因為這項任務涉及大量資源消耗,所以能導致移動操作系統崩潰。

              “該攻擊使用-webkit-backdrop-filter CSS屬性中的弱點。 通過使用具有該屬性的嵌套div,我們可以快速消耗所有圖形資源并崩潰或凍結操作系統。 該攻擊不需要啟用Javascript,因此它也適用于Mail。“

              漏洞發現者 Sabri 在接受 國外科技媒體 The Bleeping Computer 的采訪時,透露攻擊雖然不能用于運行惡意代碼,但如果有人在電子郵件中填充此鏈接,則可能導致重啟 iPhone 并凍結 Mac。

              目前,Sabri已向Apple通報了此漏洞,但iPhone方面還沒有找到攻擊的解決方案,

              雷鋒網編輯嘗試把這個鏈接發送給了圈外的幾個朋友,大家都不約而同的問了同一個問題,這個鏈接到底長啥樣,我們好記住它。

              答案是:鏈接是可以百變的,因為目前網址的源碼已經被公開放到 GitHub 上面了,所以制作者可以任意生成一個獨一無二的鏈接。

              目前,雷鋒網發現GitHub上的原鏈接已經被微信識別出來了,無法點開,但是由于它可以“化妝”成各種模樣,所以目前大家還是小心,來源不明的鏈接,慎點,尤其是吃雞到關鍵時刻,對手可能以此來搞你!


              小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

              本文出自:https://www.toutiao.com/a6602848716296552974/

              免責聲明:本文由投稿者轉載自互聯網,版權歸原作者所有,文中所述不代表本站觀點,若有侵權或轉載等不當之處請聯系我們處理,讓我們一起為維護良好的互聯網秩序而努力!聯系方式見網站首頁右下角。


              鮮花

              握手

              雷人

              路過

              雞蛋

              相關閱讀

              最新

              返回頂部
              十一选五奖金对照表