Онзи ден беше открита уязвимост в iOS, която води до отказ на програмата "Съобщения", последвано от "замразяване" и рестартиране на смартфона. Това се случва, когато получите съобщение на вашия смартфон със специално проектирана url връзка.
Грешката беше открита от разработчика Абрахам Масри, който я нарече „chaiOS“. Същността на уязвимостта е, че приложението "Съобщения" при изпращане на url връзка предварително зарежда страницата и показва нейния преглед. Масри казва, че е създал уеб страница, хоствана в GitHub, и я е изпълнил със стотици хиляди знаци. Програмистът предполага, че сривът на програмата е причинен от опит за предварително зареждане на куп ненужна информация, което по-късно причинява срив на операционната система и води до замръзване и рестартиране.
Съдейки по докладите на потребителите, уязвимостта има смесени ефекти. Но най-честите от тях водят до "срив" на програмата "Съобщения", системни спирачки, пълно замразяване на устройството, а понякога и до "респринг" (iOS презарежда софтуера SpringBoard и връща потребителя към заключения екран).
Разработчикът тества chaiOS на iPhone X и iPhone 5S. След това той съобщи, че уязвимостта засяга iOS от версия 10.0 до версия 11.2.5 beta 5. Уязвимостта може да причини срив на „Съобщения“ и на macOS, така че собствениците на MacBook също трябва да защитят своите устройства.
За щастие намирането на работещи URL копия не е толкова лесно в момента. След като злонамерената връзка беше публикувана в GitHub и копирана от голям брой трети страни, сайтът реши да я премахне. Самият Масри няма да качва отново работната версия на страницата. Предварителното качване в GitHub беше извършено само с цел внимание Apple.
За безопасността на нашите читатели публикуваме кратко ръководство за защита на iOS устройства:
- Блокиране на домейна на сайта, където се намира уязвимостта. Ако връзката води до ресурс на GitHub, отидете на Настройки - Safari - Основни - Ограничения - Активиране на ограничения (въведете произволна 4-цифрена парола за ограничаване) - Уебсайтове - Ограничаване на съдържанието за пълнолетни - (Подраздел „Никога не разрешавайте“ ) добавете сайт - GitHub .io.
- Бързо изтриване на съобщение, когато е получено. Има смесени потребителски отзиви относно ефективността на този метод. Всичко зависи от това колко бързо потребителят може да изтрие съобщението със злонамерената връзка.
- Нулирайте iPhone до фабричните настройки. Това е крайна мярка, тъй като след използването му цялата незапаметена информация се изтрива. И ако нямате резервни копия на системата, тогава е най-добре да се откажете от тази мярка.
- В очакване на корекция. За съжаление, не е известно дали компанията работи по коригирането на този проблем, тъй като официалните коментари от Apple докато пристигне.
Тази категория уязвимости не е нова за фърмуера на iPhone. Подобни злонамерени връзки доведоха до замръзване на смартфоните на компанията през 2015 и 2016 г. Предвид факта, че в края на миналата година имаше огромен брой корекции на фърмуера от компанията Apple, остава да се надяваме, че компанията ще стане по-внимателна и отзивчива към проблемите със сигурността през следващата година.
Dzherelo: theverge.com