![פינטרסט](https://pinterest.com/pin/create/button/?url=https://iw.root-nation.com/ua/news-ua/it-news-ua/ua-chaios-iphone-crash/&media=https://iw.root-nation.com/wp-content/uploads/2018/01/iPhone-chaiOS.jpg&description=На днях в iOS була виявлена уразливість chaiOS, яка веде до збою програми "Messages", подальшим "зависанням" і перезавантаженю смартфона. Це відбувається при відправці за допомогою повідомлення спеціально розробленого url-посилання.){kind=link}
לפני כמה ימים התגלתה נקודת תורפה ב-iOS, שמובילה לכישלון תוכנית "הודעות", ולאחריה "הקפאה" ואתחול מחדש של הסמארטפון. זה קורה כאשר אתה מקבל הודעה בסמארטפון שלך עם קישור כתובת אתר שתוכנן במיוחד.
הבאג התגלה על ידי המפתח אברהם מסרי, אשר כינה אותו "chaiOS". מהות הפגיעות היא שאפליקציית "הודעות", בעת שליחת קישור url, טוענת מראש את העמוד ומציגה את התצוגה המקדימה שלו. מסרי אומר שהוא יצר דף אינטרנט שהתארח ב-GitHub ומילא אותו במאות אלפי דמויות. המתכנת מניח שקריסת התוכנית נגרמת מניסיון לטעון מראש שלל מידע מיותר, מה שגורם מאוחר יותר למערכת ההפעלה לקרוס ומוביל להקפאה ולאתחול מחדש.
אם לשפוט לפי דיווחי משתמשים, לפגיעות יש השפעות מעורבות. אבל השכיחות שבהן מובילה ל"התרסקות" של תוכנית "הודעות", לבלמי מערכת, להקפאה מוחלטת של המכשיר ולעיתים ל"קפיץ מחדש" (iOS טוען מחדש את תוכנת SpringBoard ומחזיר את המשתמש למסך הנעילה).
המפתח בדק את chaiOS באייפון X ובאייפון 5S. לאחר מכן הוא דיווח כי הפגיעות משפיעה על iOS מגרסה 10.0 לגרסה 11.2.5 בטא 5. הפגיעות עלולה לגרום ל-"הודעות" לקרוס גם ב-macOS, כך שבעלי MacBook צריכים גם לאבטח את המכשירים שלהם.
למרבה המזל, מציאת עותקים של כתובות אתרים עובדות אינה כל כך קלה כרגע. לאחר שהקישור הזדוני פורסם ב-GitHub והועתק על ידי מספר רב של צדדים שלישיים, האתר החליט להסיר אותו. מסרי עצמו לא מתכוון להעלות שוב את גרסת העבודה של העמוד. ההעלאה המוקדמת ב- GitHub נעשתה למטרות תשומת לב בלבד Apple.
למען בטיחות הקוראים שלנו, אנו מפרסמים מדריך קצר על הגנה על מכשירי iOS:
- חסימת הדומיין של האתר בו נמצאת הפגיעות. אם הקישור מוביל למשאב GitHub, עבור אל הגדרות - ספארי - בסיסי - הגבלות - הפעל הגבלות (הזן כל סיסמת הגבלה בת 4 ספרות) - אתרי אינטרנט - הגבלת תוכן למבוגרים - (סעיף משנה "לעולם אל תאפשר") הוסף אתר - GitHub .io.
- מחק במהירות הודעה כשהיא מתקבלת. ישנן ביקורות מעורבות של משתמשים לגבי היעילות של שיטה זו. הכל תלוי באיזו מהירות המשתמש יכול למחוק את ההודעה עם הקישור הזדוני.
- אפס את האייפון להגדרות היצרן. זהו מוצא אחרון, שכן לאחר השימוש בו, כל המידע שלא נשמר נמחק. ואם אין לך עותקי גיבוי של המערכת, אז עדיף לנטוש את המדד הזה.
- מחכה לתיקון. למרבה הצער, לא ידוע אם החברה עובדת על תיקון בעיה זו, שכן הערות רשמיות מאת Apple עד שזה הגיע.
קטגוריית נקודות תורפה זו אינה חדשה בקושחה של אייפון. קישורים זדוניים כאלה גרמו לטלפונים החכמים של החברה לקפוא עוד ב-2015 וב-2016. לאור העובדה שבסוף השנה שעברה היה מספר עצום של תיקוני קושחה מהחברה Apple, נותר לקוות שהחברה תהפוך להיות קשובה יותר ומגיבה יותר לנושאי אבטחה בשנה הקרובה.
מָקוֹר: theverge.com