Новый баг ломает айфон одной ссылкой. Вот как он работает

19 января 2018 в 15:36
Новый детектив в мире Apple — в iOS появилась уязвимость, которая останавливает работу айфона, отправляет его в перезагрузку и ломает приложения. «Афиша Daily» рассказывает, что это за ошибка и как от нее защититься.

В чем заключается новая уязвимость — chaiOS

Баг касается приложения «Сообщения». Когда в приложение приходит сообщение с определенной ссылкой, оно зависает вместе с телефоном. Ссылка может отправить айфон в перезагрузку, сломать «Сообщения» (приложение будет само закрываться до того, как владелец телефона успеет что-то сделать) или приложения сторонних разработчиков (например, Telegram). Пользователь Reddit рассказал, как отправил chaiOS другу, после чего на его айфоне с джейлбрейком перестали открываться все сторонние приложения. Ошибку создает не сама ссылка, а то, что по ней находится. Дело в том, что приложение извлекает превью ссылки в чат. Чаще всего в нем будут картинка и заголовок страницы, но если вместо этих данных ввести сложный набор символов (он изображен на картинке выше), то приложение не сможет его извлечь и зависнет. Кто может прислать вам такое сообщение? Любой, кто знает ваш номер: знакомый недруг или случайный шутник, который нашел набор символов chaiOS в интернете.

Кому угрожает chaiOS

Скорее всего, всем современным айфонам и айпэдам. Вам даже не нужно ничего делать, чтобы телефон повис, ведь «Сообщения» сами извлекут превью и остановят работу iOS. Уязвимость обнаружил и описал программист Абрахам Масри. Он смог остановить работу iPhone X и iPhone 5s с версиями iOS от 10.0 до 11.2.5 beta 5 (более старые версии не тестировались). Также уязвимость угрожает макбукам, на которых установлено приложение «Сообщения». Марси разместил набор символов на GitHub, поэтому его ссылка, которая останавливала работу айфона, выглядела так: iabem97.github.io/chaiOS/. Позже он удалил ее, но код успели скопировать в другие хранилища.

Как можно защититься от новой уязвимости в айфоне

До того, как такая ссылка пришла

Запретите «Сообщениям» извлекать превью ссылок с GitHub. Для этого зайдите в настройки, потом «Основные» — «Ограничения» — «Включить ограничения» — «Веб-сайты» — «Лимит контента для взрослых» — «Не разрешать никогда». В поле укажите github.io. Но если опасный набор символов пришлют ссылкой на другое хранилище (например, на Pastebin.com), решение не поможет.

Если такая ссылка пришла

Попробуйте открыть приложение «Сообщения» (а не само сообщение с ссылкой) и быстро удалить переписку из списка чатов. Возможно, ничего не получится, поскольку приложение будет закрываться. В таком случае придется возвращать заводские настройки телефону: «Настройки» — «Основные» — «Сброс». Помните, что после этого с телефона удалятся фотографии и файлы — сохраните их в другом месте.

Обновитесь

На следующей неделе Apple выпустит обновление iOS 11.2.5, которое сейчас проходит бета-тестирование. Издание MacRumors писало, что обновление закроет уязвимость. До обновления стоит быть осторожными со случайными ссылками.

Но это не единственная ошибка. Еще одна есть в Messenger

Второй баг касается мессенджера Facebook. У некоторых пользователей приложение дает ввести несколько слов и зависает: нельзя ни стереть написанное, ни написать что-то еще. В Facebook знают об ошибке, но неизвестно, собираются ли ее исправить и когда это сделают.

Кому грозит баг в Messenger

О неприятной ошибке сообщали англоязычные пользователи твиттера. Видимо, она существует не у всех пользователей — во время тестов «Афиши» ее не удалось воспроизвести. Баг в Messenger не сломает ваш телефон, но переписываться с ним будет сложнее. Исправить его самостоятельно пока не получается — люди пытались переустанавливать приложение и перезапускать телефон, но ничего не помогло.

Расскажите друзьям