ChaiOS varnarleysi - Einfaldur hlekkur veldur því að iPhone frjósi

Um daginn uppgötvaðist varnarleysi í iOS sem leiðir til bilunar í „Skilaboðum“ forritinu, í kjölfarið „fryst“ og endurræsing snjallsímans. Þetta gerist þegar þú færð skilaboð í snjallsímann þinn með sérhönnuðum vefslóðartengli.

Villan var uppgötvað af verktaki Abraham Masri, sem nefndi hana „chaiOS“. Kjarninn í varnarleysinu er að „Skilaboð“ forritið, þegar það sendir slóð tengil, forhleður síðuna og birtir forskoðun hennar. Masri segist hafa búið til vefsíðu sem hýst var á GitHub og fyllt hana með hundruðum þúsunda stafa. Forritarinn gerir ráð fyrir að forritahrunið sé af völdum tilraun til að hlaða niður fullt af óþarfa upplýsingum, sem síðar veldur því að stýrikerfið hrynur og leiðir til frystingar og endurræsingar.

Af notendaskýrslum að dæma hefur varnarleysið misjöfn áhrif. En þær algengustu leiða til „hruns“ „Skilaboða“ forritsins, kerfishemla, algjörrar frystingar á tækinu og stundum „aftur“ (iOS endurhleður SpringBoard hugbúnaðinn og skilar notandanum á læsiskjáinn).

Framkvæmdaraðilinn prófaði chaiOS á iPhone X og iPhone 5S. Hann greindi síðan frá því að varnarleysið hafi áhrif á iOS frá útgáfu 10.0 til útgáfu 11.2.5 beta 5. Varnarleysið getur valdið því að „Skilaboð“ hrynji líka á macOS, svo MacBook eigendur ættu líka að tryggja tæki sín.

Sem betur fer er ekki svo auðvelt að finna virka afrit af vefslóðum í augnablikinu. Eftir að illgjarn hlekkur var settur á GitHub og afritaður af miklum fjölda þriðja aðila ákvað síðan að fjarlægja hann. Masri sjálfur ætlar ekki að hlaða upp vinnuútgáfu síðunnar aftur. Forupphleðslan á GitHub var eingöngu gerð í athyglisskyni Apple.

Til öryggis lesenda okkar birtum við stutta leiðbeiningar um verndun iOS tæki:

1. Lokar á lén síðunnar þar sem varnarleysið er staðsett. Ef hlekkurinn leiðir til GitHub auðlindar, farðu þá í Stillingar - Safari - Basic - Takmarkanir - Virkja takmarkanir (sláðu inn hvaða 4 stafa takmörkunarlykilorð sem er) - Vefsíður - Takmarka efni fyrir fullorðna - (undirkafli „Aldrei leyfa“ ) bæta við síðu - GitHub .io.
2. Eyddu skilaboðum fljótt þegar þau eru móttekin. Það eru blandaðar umsagnir notenda um árangur þessarar aðferðar. Það veltur allt á því hversu fljótt notandinn getur eytt skilaboðunum með skaðlega hlekknum.
3. Endurstilltu iPhone í verksmiðjustillingar. Það er síðasta úrræði, þar sem eftir notkun þess er öllum óvistuðum upplýsingum eytt. Og ef þú ert ekki með öryggisafrit af kerfinu, þá er best að hætta við þessa ráðstöfun.
4. Bíður eftir patch. Því miður er ekki vitað hvort fyrirtækið vinnur að því að leiðrétta þetta vandamál, þar sem opinberar athugasemdir frá Apple þangað til það kom.

Þessi flokkur veikleika er ekki nýr í iPhone vélbúnaði. Slíkir illgjarnir tenglar ollu því að snjallsímar fyrirtækisins frjósu aftur á árunum 2015 og 2016. Í ljósi þess að í lok síðasta árs var mikill fjöldi fastbúnaðar lagfæringa frá fyrirtækinu Apple, það er enn að vona að fyrirtækið verði meira eftirtektarvert og bregst við öryggismálum á komandi ári.

Heimild: theverge.com