ChaiOS Vulnerability - Nagiging sanhi ng Pag-freeze ng iPhone ang Simple Link

Noong isang araw, natuklasan ang isang kahinaan sa iOS, na humahantong sa pagkabigo ng programang "Mga Mensahe", na sinusundan ng isang "freeze" at pag-reboot ng smartphone. Nangyayari ito kapag nakatanggap ka ng mensahe sa iyong smartphone na may espesyal na idinisenyong url na link.

Ang bug ay natuklasan ng developer na si Abraham Masri, na pinangalanan itong "chaiOS". Ang kakanyahan ng kahinaan ay ang application na "Mga Mensahe", kapag nagpapadala ng link ng url, paunang nilo-load ang pahina at ipinapakita ang preview nito. Sinabi ni Masri na gumawa siya ng web page na naka-host sa GitHub at pinunan ito ng daan-daang libong character. Ipinapalagay ng programmer na ang pag-crash ng program ay sanhi ng isang pagtatangka na mag-preload ng isang grupo ng mga hindi kinakailangang impormasyon, na sa kalaunan ay nagiging sanhi ng pag-crash ng OS at humahantong sa pag-freeze at pag-reboot.

Sa paghusga sa mga ulat ng user, ang kahinaan ay may magkahalong epekto. Ngunit ang pinakamadalas sa mga ito ay humahantong sa "pag-crash" ng programang "Mga Mensahe", mga preno ng system, kumpletong pagyeyelo ng device, at kung minsan ay "respring" (ni-reload ng iOS ang SpringBoard software at ibinalik ang user sa lock screen).

Sinubukan ng developer ang chaiOS sa iPhone X at iPhone 5S. Pagkatapos ay iniulat niya na ang kahinaan ay nakakaapekto sa iOS mula sa bersyon 10.0 hanggang bersyon 11.2.5 beta 5. Ang kahinaan ay maaaring maging sanhi ng "Mga Mensahe" na mag-crash din sa macOS, kaya dapat ding i-secure ng mga may-ari ng MacBook ang kanilang mga device.

Sa kabutihang palad, ang paghahanap ng gumaganang mga kopya ng url ay hindi ganoon kadali sa ngayon. Matapos mai-post ang nakakahamak na link sa GitHub at makopya ng malaking bilang ng mga third party, nagpasya ang site na alisin ito. Si Masri mismo ay hindi na mag-a-upload muli ng gumaganang bersyon ng pahina. Ang paunang pag-upload sa GitHub ay ginawa para lamang sa pansin Apple.

Para sa kaligtasan ng aming mga mambabasa, nag-publish kami ng maikling gabay sa pagprotekta sa mga iOS device:

1. Pag-block sa domain ng site kung saan matatagpuan ang kahinaan. Kung ang link ay humahantong sa isang mapagkukunan ng GitHub, pagkatapos ay pumunta sa Mga Setting - Safari - Basic - Mga Paghihigpit - Paganahin ang Mga Paghihigpit (ipasok ang anumang 4-digit na password sa paghihigpit) - Mga Website - Limitahan ang Pang-adultong Nilalaman - (Subsection na "Huwag Pahintulutan" ) magdagdag ng site - GitHub .io.
2. Mabilis na tanggalin ang isang mensahe kapag ito ay natanggap. Mayroong halo-halong mga review ng user tungkol sa pagiging epektibo ng pamamaraang ito. Ang lahat ay nakasalalay sa kung gaano kabilis matanggal ng user ang mensahe gamit ang malisyosong link.
3. I-reset ang iPhone sa mga factory setting. Ito ay isang huling paraan, dahil pagkatapos nitong gamitin, ang lahat ng hindi na-save na impormasyon ay tatanggalin. At kung wala kang mga backup na kopya ng system, pinakamahusay na iwanan ang panukalang ito.
4. Naghihintay ng patch. Sa kasamaang palad, hindi alam kung ang kumpanya ay nagtatrabaho sa pagwawasto sa problemang ito, dahil ang mga opisyal na komento mula sa Apple hanggang sa dumating.

Ang kategoryang ito ng mga kahinaan ay hindi bago sa iPhone firmware. Dahil sa mga nakakahamak na link na ito, nag-freeze ang mga smartphone ng kumpanya noong 2015 at 2016. Dahil sa katotohanan na sa pagtatapos ng nakaraang taon mayroong isang malaking bilang ng mga pag-aayos ng firmware mula sa kumpanya Apple, nananatiling umaasa na ang kumpanya ay magiging mas matulungin at tumutugon sa mga isyu sa seguridad sa darating na taon.

Dzherelo: theverge.com