iOS および macOS の厄介なバグを悪用する新しいタイプの悪質なリンクは、メッセージ アプリ経由で受信されたり Safari で開かれたりすると、何も知らないユーザーの iPhone、iPad、iPod touch、または Mac を再起動したりフリーズさせたりする可能性があります。
これを最初に発見したシカゴ在住のソフトウェア開発者アブラハム・マスリ氏は、火曜日の午後にTwitterで悪質なリンクを共有した。
いたずら好きな皆さん、正しい行動をとって、送信しないでください。
GitHubページにリンクされた悪意のある添付ファイルは、メッセージアプリをフリーズさせます。モバイルまたはデスクトップのSafariで開くと、ブラウザがハングアップしたり、応答しなくなったりします。また、受信者のデバイスがフリーズしたり、再起動したりする可能性もあります。
テキスト爆弾は会話全体を削除することもできますが、その他の個人データは影響を受けません。メッセージアプリを強制終了し、問題となっている会話全体をメッセージリストから削除すると、この問題は解決するようです。
この攻撃は、主にUnicodeのカスケードアクセント記号で構成される数メガバイトのテキストをデバイスに送り込み、Unicodeを表示できるほとんどのアプリの動作を大幅に低下させるようです。これは、AppleのUnicodeレンダリングエンジンのどこかにバグがある可能性を示唆しています。
この問題は今後の iOS および macOS のアップデートで修正される予定です。
コンピュータセキュリティ専門家のグラハム・クルーリー氏は自身のブログで、いわゆるChaiOSバグのコードに何かがAppleデバイスにひらめきを与えると書いている。「自ら招いた混乱を恥じ、メッセージアプリは最も恥ずかしくない行動としてクラッシュすることを選択する」と彼は書いている。
これは厄介なバグではあるが、デバイスからデータが盗まれたり、悪意のあるハッカーがファイルにアクセスできるようになるといったことにつながるものではなく、むしろ迷惑なものだと彼は付け加えた。
リンクを使って iOS デバイスをクラッシュさせる脆弱性が見られるのは今回が初めてではありません。
2015年5月には、「Effective Power」と呼ばれる同様のバグが発生し、悪意のある人物が受信者のiPhoneをリスプリングさせることが可能でした。ユーザーが端末をロックした状態でテキスト爆弾を受信すると、このバグによりiPhoneは強制的に再起動されます。
これは、長年iOSを悩ませてきたあの厄介なロック画面の脆弱性を思い出させます。あれほど長い年月を経て、AppleはついにUnicodeテキストのバグを撲滅するだろうと期待していました。
このテキスト爆弾をもう受け取りましたか?もしそうなら、デバイスがクラッシュしたり、反応しなくなったりしましたか?
下のコメント欄でお知らせください。
