A minap egy sebezhetőséget fedeztek fel az iOS-ben, ami az "Üzenetek" program meghibásodásához, majd az okostelefon "lefagyásához" és újraindításához vezet. Ez akkor fordul elő, ha egy speciálisan kialakított URL-hivatkozást tartalmazó üzenet érkezik okostelefonjára.
A hibát Abraham Masri fejlesztő fedezte fel, aki „chaiOS”-nak nevezte el. A sérülékenység lényege, hogy az "Üzenetek" alkalmazás az url hivatkozás küldésekor előre betölti az oldalt, és megjeleníti annak előnézetét. Masri azt mondja, hogy létrehozott egy weboldalt a GitHubon, és több százezer karakterrel töltötte fel. A programozó feltételezi, hogy a program összeomlását egy csomó szükségtelen információ előzetes betöltésének kísérlete okozza, ami később az operációs rendszer összeomlásához és lefagyáshoz és újraindításhoz vezet.
A felhasználói jelentések alapján a sérülékenységnek vegyes hatásai vannak. De ezek közül a leggyakrabban az „Üzenetek” program „összeomlásához”, a rendszerfékekhez, az eszköz teljes lefagyásához, néha „respringhez” vezetnek (az iOS újratölti a SpringBoard szoftvert, és visszaadja a felhasználót a lezárási képernyőre).
A fejlesztő tesztelte a chaiOS-t iPhone X-en és iPhone 5S-en. Majd arról számolt be, hogy a sérülékenység a 10.0-s verziótól a 11.2.5-ös béta 5-ös verzióig érinti az iOS-t. A sérülékenység miatt az „Üzenetek” összeomolhatnak macOS-en is, ezért a MacBook-tulajdonosoknak is védeniük kell eszközeiket.
Szerencsére jelenleg nem olyan egyszerű megtalálni a működő URL-másolatokat. Miután a rosszindulatú linket közzétették a GitHubon, és nagyszámú harmadik fél lemásolta, a webhely úgy döntött, hogy eltávolítja azt. Masri maga nem fogja újra feltölteni az oldal működő verzióját. Az előzetes feltöltés a GitHubra csak figyelemfelkeltés céljából történt Apple.
Olvasóink biztonsága érdekében egy rövid útmutatót teszünk közzé az iOS-eszközök védelméről:
A sebezhetőségek ezen kategóriája nem újdonság az iPhone firmware-ében. Az ilyen rosszindulatú hivatkozások miatt a cég okostelefonjai lefagytak még 2015-ben és 2016-ban. Tekintettel arra, hogy a múlt év végén hatalmas számú firmware-javítás érkezett a cégtől Apple, továbbra is remélni kell, hogy a vállalat a következő évben figyelmesebb és érzékenyebb lesz a biztonsági kérdésekre.
Forrás: theverge.com
Hagy egy Válaszol