安全研究人员Sabri Haddouche上周六(9/15)借由Twitter公布了一段针对iOS设备的攻击程序,当iPhone或iPad访问含有该程序代码的网页时,就会造成核心错误( Kernel Panic),导致系统重新启动设备。
Haddouche已将该只有15行的攻击程序代码发布在GitHub上,该程序利用了浏览器引擎WebKit的弱点,借由在CSS的背景过滤器中嵌入大量的<div> 标签,消耗了设备的所有资源,而造成核心错误,遭遇核心错误的系统通常会重新启动以避免造成伤害。
WebKit为苹果Safari浏览器所使用的引擎,因此不只是iOS设备受到波及,该程序代码也会让macOS上的Safari浏览器冻结。
Haddouche向Tech Crunch透露,在iOS上任何可描绘HTML的服务都会受到影响,代表不管用户收到的是脸书、Twitter或电子邮件中的连接,还是访问一个含有该程序代码的网页,都会发生iOS设备重新启动的状况。
借由15行程序代码就攻陷iOS设备还不是Haddouche最得意的作品,他在一周前曾经只用一行JavaScript就让Chrome浏览器与Chrome OS冻结。