视频真相+深度解析 | 顶级黑客手把手教你玩 iPhone 奇葩漏洞,如何用一段5秒“毒视频”让朋友的 iPhone 死机

简介:
   
    今天早晨,一段奇葩的视频刷爆了网络。

只要用 iPhone 播放了这段视频,手机瞬间就会卡壳,对一切操作都没有反应。甚至用户只能通过同时按电源键和 Home 键这样的“硬重启”方式才能把手机恢复正常。(iPhone 7 系列为电源键+音量减键)

这简直创造了攻击一台 iPhone 最简单方法的世界纪录。

以下,就是这段视频,由于这段视频已经被上传转码,所以在手机上观看并没有危险。(嘘!想要原版视频的童鞋可以留言。)

【传说中的五秒“毒视频”】

视频只有五秒,展示了一段简单的扑克魔术。播放完这段视频,你的手机就被魔术“征服”了。

很多童鞋为了试验这个视频的真实性,都忍痛在自己的爱机上跑了这段视频,结果相当酸爽。为了让童鞋们免受痛苦,来自 360 涅槃团队的顶级 iOS 黑客们特意录制了一段视频,让你可以安全地感受一下这段视频究竟是如何干掉 iPhone 的。

【“毒视频”干掉 iPhone 演示视频/视频由 360 涅槃团队提供】

那么问题来了,究竟为什么一段视频会造成这么大的破坏呢?

涅槃团队的安全专家王纬告诉雷锋网(公众号:雷锋网)宅客频道,

这个视频属于一个特殊的媒体文件,对视频驱动的底层造成了干扰,导致iPhone 媒体服务进程相关的内核线程死循环,从而耗尽手机资源,最终造成手机假死崩溃。


具体来说,是 AppleVXD393(具体设备会有不同)内核模块中存在漏洞,导致特定视频文件会造成死循环。


针对这个视频来说,并不是魔术视频有问题,问题出在了秒拍加的片尾上。这个只有一秒,也就是 26 帧的片段,却触发了漏洞。

视频真相+深度解析 | 顶级黑客手把手教你玩 iPhone 奇葩漏洞,如何用一段5秒毒视频让朋友的 iPhone 死机

【导致 iPhone 死机的罪魁祸首截图】

原来最后一秒的秒拍结尾才是罪魁祸首,那么问题又来了,难道所有的秒拍视频都会造成 iPhone 崩溃吗?

显然不是。

王纬说,视频的代码的组成比较复杂,所以这个漏洞被触发其实是偶然的。秒拍处理视频的时候恰巧随机组合了非法数据,这就像黑客随意尝试 Fuzz 的时候,不小心发现了漏洞。

实际上,早在2015年底,涅槃团队的黑客大牛就发现了 iOS 里存在类似的漏洞,可以通过一个特定视频导致 iPhone 系统崩溃。这个漏洞已经提交给了苹果并且获得了官方致谢。(感兴趣的童鞋可以进入链接查看报告详情 http://nirvan.360.cn/blog/?p=487)以下是这个漏洞的演示视频。

【涅槃团队在2015年发现的 iOS 漏洞,利用视频导致系统崩溃】

涅槃团队告诉雷锋网宅客频道(公众号ID:letshome),本次发现的新漏洞和之前他们发现的漏洞在原理上是类似的。

王纬还表示:

通过视频攻击 iPhone,有很多途径。比如微信聊天发视频、短消息发视频、各种社交媒体都可以成为攻击的途径。只要目标手机播放了这段视频,都会造成死机的效果。

如此说来,这个漏洞的影响范围相当广泛。不过,经过测试,这段视频已经不能通过微信发送了。目测微信已经在后台对这段视频进行了紧急屏蔽。看来,微信对于紧急情况处置的效率,还是值得点赞的。

目前,苹果并没有对这个漏洞发声。而经过测试,几乎所有版本的 iPhone 都会受这个漏洞影响。针对这个漏洞,涅槃团队的安全专家将会发表研究报告,雷锋网宅客频道也会持续关注。

  
  本文作者: 史中

本文转自雷锋网禁止二次转载, 原文链接
目录
相关文章
|
1月前
|
SQL 监控 安全
服务器安全性漏洞和常见攻击方式解析
服务器安全性漏洞和常见攻击方式解析
|
3月前
|
数据采集 Python
Python和BeautifulSoup库的魔力:解析TikTok视频页面
短视频平台如TikTok已成为信息传播和电商推广的重要渠道。用户通过短视频分享生活、创作内容,吸引了数以亿计的观众,为企业和创作者提供了广阔的市场和宣传机会。然而,要深入了解TikTok上的视频内容以及用户互动情况,需要借助爬虫技术。本文将介绍如何使用Python和BeautifulSoup库解析TikTok视频页面,并通过统计分析视频信息,帮助您更好地利用这一重要渠道。
Python和BeautifulSoup库的魔力:解析TikTok视频页面
|
5天前
|
开发框架 安全 中间件
38、中间件漏洞解析-IIS6.0
38、中间件漏洞解析-IIS6.0
7 0
|
21天前
|
JavaScript 前端开发 区块链
最新视频连接解析地址
最新视频连接解析地址
16 0
|
1月前
|
安全 应用服务中间件 PHP
文件上传解析漏洞,以及检测方式的绕过
文件上传解析漏洞,以及检测方式的绕过
|
2月前
|
数据采集 存储 JavaScript
提升数据采集技能:用 Axios 实现的 Twitter 视频下载器全面解析
Twitter上的视频内容丰富多样,涵盖了新闻、娱乐、教育、体育等各个领域。这些视频内容对于数据科学家来说,是一种有价值的数据形式,可以用于进行内容分析、情感分析、话题挖掘、事件检测等多种任务。然而,Twitter标准API并没有提供直接下载视频的功能,这给数据采集带来了一定的困难。为了克服这一挑战,我们将使用Axios库,结合代理IP技术,构建一个高效的视频下载器。
提升数据采集技能:用 Axios 实现的 Twitter 视频下载器全面解析
|
6月前
|
机器学习/深度学习 数据采集 人工智能
详细解析python视频选择--【思维导图知识范围】
详细解析python视频选择--【思维导图知识范围】 CSDN 转过来的,所以格式与内容有些许错误请见谅
|
6月前
|
缓存 小程序 前端开发
详细解析黑马微信小程序视频--【思维导图知识范围】
详细解析黑马微信小程序视频--【思维导图知识范围】 CSDN 转过来的,所以格式与内容有些许错误请见谅
详细解析黑马微信小程序视频--【思维导图知识范围】
|
7月前
|
搜索推荐 数据可视化 JavaScript
数据可视化大屏百度地图绘制行政区域标注实战案例解析(个性化地图、标注、视频、控件、定位、检索)
数据可视化大屏百度地图绘制行政区域标注实战案例解析(个性化地图、标注、视频、控件、定位、检索)
103 1
|
9月前
|
Linux Shell 网络安全
手把手教你学Linux,630幅图文解析,更有随书170集视频讲解!
手把手教你学Linux,630幅图文解析,更有随书170集视频讲解!

推荐镜像

更多