196

Jeden znak zawiesza systemy iOS i macOS. Przerażająco proste

Jak wynika z najnowszych odkryć programistów oraz ekspertów do spraw cyberbezpieczeństwa, znaleziono kolejny problem z parsowaniem znaków Unicode na produktach Apple. Wystarczy wysłać jeden znak z języka Telugu użytkownikowi systemu iOS za pomocą jakiegokolwiek komunikatora.

Jak podaje Niebezpiecznik, orygianlna sekwencja znaków, która powoduje zawieszenie się systemów macOS oraz iOS to:

U+0C1C U+0C4D U+0C1E U+200C U+0C3E

Okazuje się jednak, że wystarczy wysłać tylko jeden znak, aby urządzenie kompletnie zwariowało. Przesłanie go za pomocą jakiegokolwiek komunikatora, lub w wiadomości e-mail, umieszczenie go w adresie konkretnej strony internetowej może spowodować zawieszenie się konkretnego programu lub nawet (jak to określił Niebezpiecznik) „pętlę śmierci”, która polega na próbie ponownego załadowania aplikacji razem z informacjami, które spowodowały pierwotny problem ze stabilnością. To nie pierwszy przypadek, w którym urządzenia Apple mają problem z parsowaniem znaków Unicode – donoszono bowiem wcześniej o innych przypadkach znaków lub ich ciągów, które skutecznie „ubijają” telefony, tablety, a nawet komputery Apple.

Nieco ponad 3 lata temu Apple miało pierwszy poważny problem związany z „niebezpiecznymi ciągami”. W maju 2016 roku donoszono o tajemniczych wiadomościach, które zawieszały telefony, tablety, a nawet zegarki tego producenta. Wtedy była mowa o tym ciągu:

effective. Power لُلُصّبُلُلصّبُررً ॣ ॣh ॣ ॣ 冗

Po otrzymaniu wiadomości o takiej treści np. w programie iMessage, telefon, tablet lub nawet zegarek uruchamiały się ponownie. W niektórych przypadkach powodowało to wpadnięcie w pętle restartów, co raczej nie było miłe dla ofiar dowcipnisiów.

Telugu iOS macOS iPhone

Ten błąd jest już naprawiony w iOS 11.3 oraz macOS 10.13.4, ale wszyscy otrzymają te uaktualnienia dopiero w następnym miesiącu

Uczestnicy programów beta-testów nie są podatni w żaden sposób na te błędy. Reszta klientów musi poczekać na to, aż będą całkowicie zabezpieczeni przed niebezpiecznym znakiem z języka Telugu. Jeżeli otrzymaliście taką wiadomość na telefonie z iOS na pokładzie, możecie skorzystać z komputera z tym systemem i usunąć ją po to, aby nie była ona zaciągania przy próbie zrestartowania aplikacji. Jeżeli nie dysponujecie komputerem z macOS – możliwe, że wysłanie Wam jakiejkolwiek bezpiecznej wiadomości zlikwiduje problem.

Niebezpiecznik wspomniał o umieszczeniu tego znaku w nazwie sieci WiFi. Co gorsza, to również działa…

W postscriptum źródłowego wpisu, Niebezpiecznik rzucił luźną myśl na temat umieszczenia tego znaku w nazwie sieci WiFi. Okazuje się, że ten trik również działa – co prawda nie powoduje masowych restartów urządzeń, ale w Macbookach na przykład powoduje on niemożność zalogowania się do sieci oraz wymusza ponowne uruchomienie się niektórych elementów interfejsu. W telefonach komórkowych natomiast dochodzi do niegroźnego zamknięcia aplikacji Ustawienia.

Facebook dosyć szybko zareagował na ten problem z urządzeniami Apple i zablokował ten znak w Messengerze. Niemożliwe jest jego wysłanie komukolwiek zarówno w aplikacjach mobilnych, jak i w webowej odsłonie komunikatora.