iMessage 已經不是第一次出現令裝置或 Safari 癱瘓的漏洞,今次就有人發現原來只要送出一條連結,即使收信人沒有點擊,也可以令備有 Messages App 的 Apple 裝置癱瘓,而有關的程式碼更可能已經被廣泛流傳。
BuzzFeed 報道,軟件開發人 Abraham Masri 在當地時間周二在 GitHub 上發表了一個他命名為 chaiOS 的 iOS 漏洞,他把經過特殊處理的網頁放在 GitHub 上,然後將那網頁的連結寄到某人的 iPhone ,對方一收到這個信息,不用做任何動作,裝置就會癱瘓幾分鐘,甚至停不了。
[row][double_paragraph]
[/double_paragraph][double_paragraph]
[/double_paragraph] [/row]
據一個曾測試這漏洞的人 Aaron 表示,這個漏洞通用於 iOS 10.0 至 11.2.5 beta 5 ,由 iPhone X 至 iPhone 5S 同樣會受害,不過他就還未試過剛剛推出的 iOS 11.2.5 beta 6 。據 Masri 表示,這個漏洞同樣適用於 Mac 機。
當有人寄送信息到 Messages App 時, Messages 會產生連結的預覽圖像,而 Apple 就提供了一些指引供開發人控制這個預覽的模樣。 Masri 就是利用這點,在網頁的 metadata 裡加入 Apple 意想不到的大量字符,令 Messages App 無法處理而癱瘓裝置。他把那惡意網頁放在 Github ,目的就是要通知 Apple ,因為他過去曾經試過多次向 Apple 報告漏洞都不獲理會。
[row][double_paragraph]
[/double_paragraph][double_paragraph]
[/double_paragraph] [/row]
雖然 GitHub 在知道此事後已經暫停了 Masri 的帳戶(在 Masri 移除了惡意網頁後已重開),不過這不代表大家已經安全,因為 GitHub 是開源平台,不排除已有人在 GitHub 出手阻止前下載了該惡意網頁放置在其他網頁伺服器,繼續危害 iPhone 等 Apple 裝置。
據 MacRumors 報道, Apple 已經在 iOS 11.2.5 beta 6 上修正了有關漏洞,這個更新將會很快推出。大家應該密切留意 Apple 的更新信息。
資料來源: BuzzFeed 、 MacRumors
