Neki dan je u iOS-u otkrivena ranjivost koja dovodi do kvara programa "Messages", nakon čega slijedi "zamrzavanje" i ponovno pokretanje pametnog telefona. To se događa kada na svoj pametni telefon primite poruku s posebno dizajniranom url vezom.
Bug je otkrio programer Abraham Masri, koji ga je nazvao "chaiOS". Suština ranjivosti je da aplikacija "Messages" prilikom slanja url linka unaprijed učitava stranicu i prikazuje njen pregled. Masri kaže da je stvorio web stranicu hostiranu na GitHubu i ispunio je stotinama tisuća znakova. Programer pretpostavlja da je pad programa uzrokovan pokušajem unaprijed učitavanja hrpe nepotrebnih informacija, što kasnije uzrokuje pad OS-a i dovodi do zamrzavanja i ponovnog pokretanja.
Sudeći prema izvješćima korisnika, ranjivost ima mješovite učinke. Ali najčešći od njih dovode do "pada" programa "Messages", kočenja sustava, potpunog zamrzavanja uređaja, a ponekad i do "ponovnog pokretanja" (iOS ponovno učitava SpringBoard softver i vraća korisnika na zaključani zaslon).
Programer je testirao chaiOS na iPhone X i iPhone 5S. Zatim je izvijestio da ranjivost utječe na iOS od verzije 10.0 do verzije 11.2.5 beta 5. Ranjivost može uzrokovati rušenje "Messages" i na macOS-u, tako da vlasnici MacBooka također trebaju osigurati svoje uređaje.
Srećom, pronalaženje radnih kopija URL-a trenutno nije tako jednostavno. Nakon što je zlonamjerna poveznica objavljena na GitHubu i kopirana od strane velikog broja trećih strana, stranica ju je odlučila ukloniti. Sam Masri neće ponovno uploadati radnu verziju stranice. Prethodni prijenos na GitHub učinjen je samo u svrhu pozornosti Apple.
Radi sigurnosti naših čitatelja objavljujemo kratki vodič o zaštiti iOS uređaja:
Ova kategorija ranjivosti nije nova za iPhone firmware. Takve zlonamjerne veze uzrokovale su zamrzavanje pametnih telefona ove tvrtke još 2015. i 2016. godine. S obzirom na činjenicu da je krajem prošle godine tvrtka napravila veliki broj popravki firmvera Apple, ostaje nadati se da će tvrtka u narednoj godini postati pažljivija i osjetljivija na sigurnosna pitanja.
Dzherelo: theverge.com
Ostavi odgovor