В чем заключается новая уязвимость — chaiOS
Баг касается приложения «Сообщения». Когда в приложение приходит сообщение с определенной ссылкой, оно зависает вместе с телефоном. Ссылка может отправить айфон в перезагрузку, сломать «Сообщения» (приложение будет само закрываться до того, как владелец телефона успеет что-то сделать) или приложения сторонних разработчиков (например, Telegram). Пользователь Reddit рассказал, как отправил chaiOS другу, после чего на его айфоне с джейлбрейком перестали открываться все сторонние приложения. Ошибку создает не сама ссылка, а то, что по ней находится. Дело в том, что приложение извлекает превью ссылки в чат. Чаще всего в нем будут картинка и заголовок страницы, но если вместо этих данных ввести сложный набор символов (он изображен на картинке выше), то приложение не сможет его извлечь и зависнет. Кто может прислать вам такое сообщение? Любой, кто знает ваш номер: знакомый недруг или случайный шутник, который нашел набор символов chaiOS в интернете.
Кому угрожает chaiOS
Скорее всего, всем современным айфонам и айпэдам. Вам даже не нужно ничего делать, чтобы телефон повис, ведь «Сообщения» сами извлекут превью и остановят работу iOS. Уязвимость обнаружил и описал программист Абрахам Масри. Он смог остановить работу iPhone X и iPhone 5s с версиями iOS от 10.0 до 11.2.5 beta 5 (более старые версии не тестировались). Также уязвимость угрожает макбукам, на которых установлено приложение «Сообщения». Марси разместил набор символов на GitHub, поэтому его ссылка, которая останавливала работу айфона, выглядела так: iabem97.github.io/chaiOS/. Позже он удалил ее, но код успели скопировать в другие хранилища.
Как можно защититься от новой уязвимости в айфоне
Запретите «Сообщениям» извлекать превью ссылок с GitHub. Для этого зайдите в настройки, потом «Основные» — «Ограничения» — «Включить ограничения» — «Веб-сайты» — «Лимит контента для взрослых» — «Не разрешать никогда». В поле укажите github.io. Но если опасный набор символов пришлют ссылкой на другое хранилище (например, на Pastebin.com), решение не поможет.
Попробуйте открыть приложение «Сообщения» (а не само сообщение с ссылкой) и быстро удалить переписку из списка чатов. Возможно, ничего не получится, поскольку приложение будет закрываться. В таком случае придется возвращать заводские настройки телефону: «Настройки» — «Основные» — «Сброс». Помните, что после этого с телефона удалятся фотографии и файлы — сохраните их в другом месте.
На следующей неделе Apple выпустит обновление iOS 11.2.5, которое сейчас проходит бета-тестирование. Издание MacRumors писало, что обновление закроет уязвимость. До обновления стоит быть осторожными со случайными ссылками.
Но это не единственная ошибка. Еще одна есть в Messenger
Второй баг касается мессенджера Facebook. У некоторых пользователей приложение дает ввести несколько слов и зависает: нельзя ни стереть написанное, ни написать что-то еще. В Facebook знают об ошибке, но неизвестно, собираются ли ее исправить и когда это сделают.
Кому грозит баг в Messenger
О неприятной ошибке сообщали англоязычные пользователи твиттера. Видимо, она существует не у всех пользователей — во время тестов «Афиши» ее не удалось воспроизвести. Баг в Messenger не сломает ваш телефон, но переписываться с ним будет сложнее. Исправить его самостоятельно пока не получается — люди пытались переустанавливать приложение и перезапускать телефон, но ничего не помогло.