В январе 2018 года исследователь Абрахам Масри (Abraham Masri) рассказал об обнаружении бага, получившего название chaiOS. Проблема напоминала старый баг Effective Power, обнаруженный еще в 2015 году. Так, атака chaiOS позволяла сбросить «текстовую бомбу» на приложение iMessage и спровоцировать его «зависание», а порой вообще выводила устройство из строя, и «реанимировать» девайс было весьма проблематично.
Теперь в iOS и macOS обнаружили еще одну похожую проблему, патча для которой пока нет. Первыми новую уязвимость заметили и описали в итальянском блоге Mobile World.
Новая проблема затрагивает не только iPhone, но и другие устройства Apple, включая iPad, Mac и даже устройства под управлением Watch OS. Уязвимость может быть использована посредством простой отправки сообщения практически в любом приложении, включая Messages, Safari, Slack, WhatsApp, Facebook Messenger, Outlook для iOS, Gmail и Twitter. Судя по сообщениям пользователей, атака не влияет на Telegram и Skype.
Реакцию, похожую на последствия атаки chaiOS, вызывает один единственный текстовый символ — జ్ఞా. Этот символ встречается в языке телугу, который распространен в индийских штатах Андхра-Прадеш и Телингана, где имеет статус официального.
Если пользователь iOS или macOS получит данный символ, например, в сообщении WhatsApp (или сам наберет его на клавиатуре), приложение аварийно прекратит работу и уйдет в бесконечный цикл, пока жертве не пришлют новое, другое сообщение. Тогда пострадавший сможет перейти к уведомлением и удалить проблемную беседу. Также жертва может удалить сообщение вручную, к примеру, через веб-версию мессенджера, если таковая доступна.
Инженеры компании Apple уже знают о проблеме и обещают представить патч для iOS как можно скорее, до релиза iOS 11.3, запланированного на весну 2018 года. Публично доступная бета-версия iOS 11.3 багу не подвержена.
Ниже можно увидеть эксплуатацию проблемы в реальной жизни. Видео создано авторами Mobile World.
Читайте также
Последние новости