Un développeur de logiciels, Abraham Masri, a réussi à identifier un nouveau bug iMessage baptisé chaiOS, qui peut infecter les appareils iPhone et Mac d'Apple et les bloquer ou les bloquer. Le développeur a posté sur ses conclusions sur GitHub ce mardi. Selon Masri, la vulnérabilité a été identifiée quand il tentait de casser le système d'exploitation en insérant des caractères aléatoires dans son codage interne. Si un message contenant un lien ayant le code identifié par Masri sur GitHub est envoyé à un périphérique, et même si l'utilisateur ne clique pas dessus, le bug sera activé. Plus: Évitez de cliquer sur CrashSafari.com! Il bloque Android, iOS Devices + Web Browsers L'application iMessage génère un aperçu de ce lien malveillant et puisque Apple permet aux développeurs d'insérer quelques caractères dans le code HTML de leur site Web pour la personnalisation du titre de cet aperçu de lien dans l'application Masri a pu insérer de nouveaux caractères. Masri a effectivement inséré des milliers de caractères, ce qui était beaucoup plus que l'iOS autorisé. C'est pourquoi l'application iMessage s'est écrasée. Le code de ce bogue a été postérieurement posté sur GitHub par Masri en raison de laquelle il est devenu disponible au public.

Le bug a été testé par un utilisateur de Twitter @ aaronp613 et a indiqué que lorsque le lien a été envoyé, l'appareil a gelé pendant quelques minutes puis a redémarré. L'appareil s'est écrasé continuellement et l'utilisateur n'a pas pu charger les messages. Masri a déclaré que le bogue affectait les versions iOS 10.0 à 11.2 beta 5 alors que la faille n'a pas été testée sur la bêta iOS 11.2.5 publiée récemment et qu'il a testé le bogue sur iPhone X et iPhone 5S. Sur les appareils Mac, le bug plante le navigateur Safari et ralentit le système.

Apple n'a pas encore répondu à ce problème, mais Masri a supprimé le message chaiOS GitHub de son profil alors que son propre compte a été suspendu pendant quelques heures. Cela n'empêche pas les utilisateurs d'iOS d'obtenir une panne de leurs périphériques car le code doit avoir été chargé ailleurs et la vulnérabilité de chaiOS pourrait être exploitée suffisamment par les acteurs de la menace. Comme l'a noté Masri: "Mon GitHub est accessible au public, donc tout le monde peut copier [le code]. Je suis à peu près sûr que quelqu'un d'autre l'a posté, mais je ne vais pas le réhéberger. Mon intention n'est pas de faire de mauvaises choses. Mon but principal était de tendre la main à Apple et de lui dire: "Hey, vous avez ignoré mes rapports de bugs." Je rapporte toujours le bug avant de sortir quelque chose. " Masri a informé Apple du bug le 15 janvier, en réponse à quoi il a reçu deux courriels automatisés de la part du fabricant de l'iPhone, mais aucune réponse solide indiquant que la société accordait à ce problème sa considération. Regardez la démonstration de chaiOS

La seule option que les utilisateurs peuvent utiliser est de restaurer les paramètres d'usine de l'appareil iOS, mais sachez que cela supprimera toutes les données, y compris les paramètres et les photos stockés sur votre appareil. Pour éviter d'être ciblé, Masri suggère de garder l'iPhone et l'iPad à jour avec la dernière version iOS car il inclut des correctifs pour ces bogues. Il est également possible de bloquer le domaine GitHub en suivant ce chemin. Paramètres app> Général> Restrictions> Activer les restrictions> Sites Web> Limiter le contenu adulte> Ne jamais autoriser> GitHub.io sur les paramètres Safari afin que si le bogue est réaffiché sur GitHub vous resterez protégé

Traduit par Dr.Mo7oG

Source ICI

#iphone #ios #phone #crash #hack #hacking #chaos