На днях в iOS була виявлена вразливість, яка веде до збою програми “Messages” з подальшим “зависанням” і перезавантаженням смартфона. Це відбувається при отриманні на смартфон повідомлення зі спеціально розробленим url-посиланням.
Помилка була виявлена розробником Abraham Masri, який назвав її “chaiOS”. Суть вразливості полягає в тому, що додаток “Messages” при відправці url-посилання, виконує предзагрузку сторінки і виводить її попередній перегляд. Masri розповідає, що створив веб-сторінку, розміщену на GitHub і заповнив її сотнями тисяч символів. Програміст передбачає, збій програми викликаний спробою предзагрузки купи непотрібної інформації, що надалі викликає збій ОС та приводить до зависань і перезавантажень.
Судячи з повідомлень користувачів, вразливість викликає неоднозначні наслідки. Але самі часті з них призводять до “крашу” програми “Messages”, гальмам системи, повному зависанню пристрою, а іноді і до “respring” (iOS перезавантажує програмне забезпечення SpringBoard і повертає користувача назад на екран блокування).
Програміст протестував chaiOS на iPhone X та iPhone 5S. Після чого повідомив, що вразливість діє на iOS починаючи з версії 10.0 і закінчуючи версією 11.2.5 бета 5. Вразливість може привести до збою “Messages” і на macOS, так що власникам MacBook також варто убезпечити свої пристрої.
На щастя, знайти робочі копії url-посилання на даний момент не так вже й просто. Після того як шкідливий лінк був розміщений на GitHub та був скопійований великою кількістю третіх осіб, сайтом було прийнято рішення по його видаленню. Сам же Масрі не збирається знову завантажувати робочу версію сторінкі. Попереднє завантаження на GitHub було виконано лише з метою залучення уваги Apple.
Для безпеки наших читачів, ми публікуємо коротку інструкцію щодо захисту iOS-пристроїв:
- Блокування домену сайту на якому розміщена вразливість. Якщо лінк веде на ресурс GitHub, то перейдіть в Налаштування – Safari – Основні – Обмеження – Включити обмеження (ввести будь-який 4-х значний пароль для обмежень) – Веб-сайти – Ліміт контенту для дорослих – (Підрозділ “Не дозволяти ніколи”) додати сайт – GitHub.io.
- Швидке видалення повідомлення при його отриманні. З приводу працездатності цього методу існують змішані відгуки користувачів. Все залежить від того, як швидко користувач зможе видалити повідомлення зі шкідливим посиланням.
- Скидання iPhone до заводських налаштувань. Є крайнім заходом, так як після його використання відбувається видалення всієї незбереженої інформації. І якщо у вас немає резервних копій системи, то краще за все відмовитися від цього заходу.
- Очікування патча. На жаль невідомо, чи працює компанія над виправленням цієї проблеми, так як офіційних коментарів від Apple поки не надходило.
Ця категорія вразливостей не нова у прошивках iPhone. Подібні шкідливі посилання викликали зависання смартфонів компанії ще в 2015-му і 2016-му роках. З огляду на те, що в кінці минулого року була величезна кількість фіксів прошивки з боку компанії Apple, залишається сподіватись, що компанія стане більш уважною і чуйною до проблем безпеки у році, що наступив.
Джерело: theverge.com