Coin-Insider.ru Новости криптовалют, инвестиций, майнинга и бизнеса [email protected]

Атака chaiOS выводит из строя приложение iMessage для macOS и iOS

Исследователь Абрахам Масри (Abraham Masri) рассказал об обнаружении бага, получившего название chaiOS. Новая проблема определенно напомнит многим о старом баге  Effective Power, обнаруженном еще в 2015 году. Дело в том, что chaiOS точно так же позволяет сбросить «текстовую бомбу» на приложение iMessage и спровоцировать его «зависание».

В отличие от вышеупомянутого Effective Power, атака chaiOS работает не только для iOS, но и для macOS. Исследователи Yalu Jailbreak пишут, что перед данной атакой уязвим iMessage в macOS High Sierra, iOS 10 — 10.3.3, а также в iOS 11 — 11.2.1, а сам Масри подтвердил, что баг работает для iPhone X и iPhone 5S.

Реализация атаки предельно проста: нужно отправить жертве ссылку на сайт, где хостится вредоносный файл, в метаданные которого добавлены сотни тысяч бесполезных символов. iMessage не справится с загрузкой такой ссылки: получив chaiOS и пытаясь осуществить preload, приложение «падает», уходит в жуткий лаг, а порой «подвешивает» всю систему вообще.

Хотя Марси опубликовал ссылку на proof-of-concept эксплоит в своем твиттере, тот был быстро удален с GitHub из-за опасности злоупотребления. Впрочем, пользователи все равно успели скачать эксплоит и загрузили его на частные серверы, откуда удалить PoC уже не так легко. Можно предположить, что в ближайшие дни множество владельцев устройств Apple станут жертвами пранкеров.

Представители Apple пообещали выпустить исправление на следующей неделе. Тем, кто уже стал жертвой такой атаки, советуют очистить историю разговора с «шутником» (этот способ работает не всегда, все зависит от того, насколько быстро будет удалено вредоносное сообщение, и удается ли сделать это до «зависания» приложения), сбросить устройство до заводских настроек или дождаться исправления.

Видеоролик ниже демонстрирует атаку chaiOS в действии.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.

p>Источник: xakep.

Главред

Оставить комментарий