Не впервые речь заходит про уязвимости в системах Apple, но не припомню случая, чтобы ситуация была столь критичной. Без специальной подготовки, программного обеспечения и какой-то техники можно убить приложение Сообщения на iPhone, iMassage на Mac, сделать неработоспособными десктопный и мобильный Safari. И что самое неприятное — Apple уже пол года известно о проблеме.

Тревогу вчера подняли на Хабре, призвав пользователей засыпать компанию баг-репортами (с декстопных приложений, конечно). Информации о методике вредительства достаточно, чтобы осознать всю сложность ситуации, а в зоне риска OS 10.8 Mountain Lion и iOS 6, то есть львиная доля всех компьютеров и портативных девайсов Apple.

Потенциальные угрозы:


Сообщение со специальным текстом на арабском, отправленное на iOS-девайс. Устройство сразу перезагружается, приложение Сообщения становится неработоспособным — крашится при открытии.

Вот так не надо делать!

Лекарство от пользователя esvaf:

  1. Повторно отправляется сообщение с того же номера, который заслал "вредную" SMS.
  2. Отправляется сообщение с другого номера. Программа Сообщения открывается тапом по уведомлению.
  3. Удаляется история переписка с контактом, приславшим "вредную" SMS.

Универсальное лекарство: восстановление прошивки из резервной копии, сделанной до получения "вредного" сообщения.


Сообщение со специальным текстом на арабском, отправленное из Сообщений iOS на десктопный iMessage. Программа краштся и больше не работает.


Открытие веб-страницы с вредоносным текстом в Safari (не важно, мобильном или десктопном). Браузер закрывается, повторно запустить его не удается.

У Safari в iOS 7 иммунитет, потому мы видим, что скрывается под ссылкой

Лекарство: очистить историю посещений браузера.


В силу того, что уязвимость скрывается в WebKit, ей не подвержены Chrome (выдает сообщение "Опаньки...") и новая Opera ("Страница аварийно закрыта") для OS X. Также уязвимость исправлена в iOS 7 и OS X 10.9 Mavericks. iOS 5 и ниже тоже не боятся арабского "заклинания".

Чтобы не быть голословными, мы лично испытали на своих девайсах "вредную" SMS и ссылку в браузере. Работает как заявлено, что нисколько не радует. Несложно оценить возможные последствия, если некий условный вредитель начнет сыпать подобным "спамом", делая неработоспособными важные программные модули компьютеров и мобильных девайсов. Но, как говорится, предупрежден — значит вооружен.

Думаю, в этом нет особой нужды, ведь все мы люди взрослые и понимающие, но все же:

Не надо "радовать" знакомых владельцев iPhone, iPod touch и iPad такими SMS, либо же рассылать ссылки по почте!

joniqus

Йонас Рожков

Большой любитель единорогов, энтузиаст IT и любящий папа. Когда-то писал на UkrainianiPhone.com

Материалы

Нашел ошибку в тексте? Выдели ее и нажми Ctrl + Enter
  • Sentinel

    вот не надо что в OS X 10.9 Mavericks оно исправлено =)
    вчера товарищ выслал мне такое
    стоит 10.9 DP6 и приложение сообщение до сих пор падает через пару секунд после запуска

    • piti4ek

      На хабре писали, что исправлено. Решения не нашли?

      • Sentinel

        чесно говоря и не искал
        увы не использую данное приложение в MacOS
        просто была подключена учетка гугла и сообщения приходили в это приложение + Adium

        учетку отключил в настройках на всякий случай

      • cataha

        Есть решение, читайте хабр
        с того же номера с которого символы слали, шлете нормальную смс, потом с другого номера шлете нормальную СМС и перейдя в эту последнюю смс можно выйти в основание сообщений и удалить беседу в которой эти символы.

      • Sentinel

        в моем случае это не подходит
        там инструкция была для сообщений присланных через iMessage
        мне же сообщение пришло через Google Hangout подключенный к сообщениям
        я удалил историю в гугле и переподключил учетку (даже с выключенной все равно падает )

        странно то что падает ток приложение Сообщения
        все остальное работает норм

  • FOX Nadir

    Интересно, почему на арабском именно?
    И второй вопрос: кто и как нашел эту уязвимость???

    • FOX Nadir

      Что еще круче: запостил в Твиттер ))) Он тоже крэшится.

      Хотел в Фейсбук запостить, а он выдал:

      «Message failed

      This message contains content that has been blocked by our security systems.

      If you think you’re seeing this by mistake, please let us know.»

  • iandrew

    Так зачем засыпать Apple баг-репортами, если в новых версиях этот баг уже пофиксили?

    • piti4ek

      Старые тоже надо пофиксить. Как минимум в OS X прошлых версий, не все могут/хотят переходить на OS X 10.9 да и пока что она еще не вышла, как и iOS 7.

      • iandrew

        Ну, если это возможно без обновления, то конечно надо. :)

  • Guest

    Скорее всего Эппл оставила такую возможность нагадить, чтобы люди убегали с 6-й версии прошивки на седьмую, и обновлялись с 10.8 до 10.9.

    Случайно эту фразу не подгадать.

  • Guest

    Скорее всего Эппл оставила такую возможность нагадить, чтобы люди убегали с 6-й версии прошивки на седьмую, и обновлялись с 10.8 до 10.9.

    Случайно эту фразу не подгадать.

    • Volodymyr Ivanyshyn

      Ну не бред ли? Нет еще ни седьмой версии, ни 10.9.

      • Антон Харуйманов

        Ожидается, что в день официального появления прошивок люди на них перейдут без сомнений, столкнувшись с бедой на уязвимых прошивках. Чтобы не было желания оставаться на 6.* и 10.8.*

  • Mr. Anderson

    Только меня интересует, что собственно означает эта чудо-фраза?

    • piti4ek

      Я твой iPhone сообщения шатал

      • Mr. Anderson

        ))

    • M Last

      ничего не значит
      только арабские буквы и все

  • На ВК уже массовая атака в сообщениях пошла. :) Ну не идиоты? xD

  • Алексей Шершнёв

    Важная поправка:
    Баг касается ТОЛЬКО владельцев актуальных версий iOS и OSX, т.е. 6.х и 10.8.
    Для примера — мой iPhone 4, iOS 5.1.1. иммунен к проблеме :)

    Кроме того, упадет почта, если придет письмо, упадет и не поднимется твиттер, если прочитать твит, короче, если эти символы попадут на ваш девайс с уязвимой прошивкой — ждите беды.

  • Mad Mag

    А у меня второй день на iPad&iPhone вылетает Mail, не помню чтоб такое сообщение получал. Попробуют перепрошится.

  • mitien

    Еще один способ убить смски до перезагрузки (если повезет) — отправить аймеседж который зависнет.