15行CSS＆HTML代码就能让iPhone重启和Mac假死

严正声明：本文仅限于技术讨论与分享，严禁用于非法途径。

前言

来自Wire团队的的安全研究员Sabri Haddouche设计了一种全新的CSS攻击方式，可导致iPhone重启或Mac假死。

该攻击方式来源于一些偶然的发现，研究人员发现用户访问包含某些CSS和HTML代码的网页时，iOS会重启，而macOS则会假死。在提炼出关键部分后研究人员设计了可100%复现的攻击演示代码，当设备打开该网页后瞬间占满设备的资源使用，从而导致内核崩溃和系统重启。

访问GitHub获取代码并参与讨论。

利用了-webkit-backdrop-filter CSS中的弱点，只要在CSS的Backdrop-filter里嵌入大量元素，比如

标签，就可以耗尽设备的图形资源导致系统内核崩溃。因为无需启用JavaScript，macOS中的Safari和Mail也不能幸免，Linux和Windows则不受影响。

研究人员测试了iOS 12和iOS 11.4.1，前者直接崩溃重启，后者的话是UI重启。在Mac系统上，攻击会导致Mail和Safari浏览器瞬间卡住，然后系统假死。

苹果还未推出相关补丁，好在这种攻击方式只能导致设备重启，不会泄露用户数据和损坏设备，

*参考来源：securityaffairs，Freddy编译整理，转载请注明来自FreeBuf.COM。