SIKKERHET

En tekstmelding kan få iPhone og Mac til å krasje

Meldingsappen på iPhone og Mac krasjer ved tolkning av en serie tegn. Det kan gjøre enhetene ustabile.
Meldingsappen på iPhone og Mac krasjer ved tolkning av en serie tegn. Det kan gjøre enhetene ustabile. Illustrasjon: Kurt Lekanger
18. jan. 2018 - 14:36

Feilen som er oppdaget berører både iPhone og Mac, som kan krasje ved mottak av en tekstmelding.

Det er nok å sende en lenke til en spesielt utformet webside. Feilen oppstår ved tolkning av HTML-koden som blir forhåndslastet i meldingsappen. Mottakeren blir følgelig rammet selv uten å klikke på lenken.

Koden som består av metadata med flere hundre tusen spesialtegn kan medføre at både meldingsappen og operativsystemet iOS krasjer eller blir ustabilt.

Det forklarer utvikleren som gjorde funnet, Abraham Masri, til nettstedet Buzzfeed.

Sårbarheten som han har valgt å kalle «chaiOS» er testet på enheter som iPhone X og en eldre iPhone 5S, og skal berøre iOS fra versjon 10 opp til og inkludert den nyeste betautgaven av iOS 12.2.5 som kom onsdag denne uken. Samme feil kan slå ut meldingsapplikasjonen på Mac-maskiner.

Masri er involvert i arbeid med å lage såkalte jailbreak-løsninger for iPhone, og det var i prosessen med å lete etter sårbarheter som kan knekke sikkerheten, ved hjelp av en teknikk kalt fuzzing, at han oppdaget svakheten.

9to5mac har ved egen testing bekreftet at feilen kan medføre ustabilitet og krasj både av meldingsappen og nettleseren Safari. De klarte aldri å fremtvinge noe systemkrasj, men avviser ikke at det kan skje. De velger å avdramatisere feilen som relativt harmløs, og noe som mest er egnet som et irritasjonsmoment og rampestreker.

Koden ble fjernet

Masri valgte å dele koden offentlig på nettstedet Github, men den er siden blitt slettet og kontoen hans ble midlertidig deaktivert.

Selv hevder han å ha varslet Apple om sårbarheten i forkant.

– Jeg har ingen onde hensikter, men har ønsket å gjøre Apple oppmerksom på at de har ignorert sårbarhetsrapportene mine. Jeg melder alltid inn feil før jeg offentliggjør noe, sier han til Buzzfeed.

Selv om Masris kode er fjernet fra det originale Github-prosjektet har den trolig blitt kopiert og kan være lastet opp andre steder, og det kan være andre ondsinnede forsøk på å utnytte chaiOS-sårbarheten i sirkulasjon, skriver nettstedet.

Det er ikke første gang det dukker opp feil i Apples programvare som fører til krasj ved tolkning av tegn. Det samme har skjedd flere ganger de siste årene.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.