Un nouveau type de lien malveillant qui exploite un bogue ennuyeux dans iOS et macOS peut provoquer le redémarrage ou le gel de l'iPhone, iPad, iPod touch ou Mac d'un utilisateur sans méfiance lorsqu'il est reçu via l'application Messages ou ouvert dans Safari.
Le développeur de logiciels basé à Chicago, Abraham Masri, qui l'a découvert pour la première fois, a partagé le lien malveillant mardi après-midi sur Twitter.
Pranksters, veuillez faire la bonne chose et ne pas l'envoyer!
Liée à une page GitHub, la pièce jointe malveillante provoque le blocage de l'application Messages. L'ouvrir dans Safari mobile ou de bureau provoque le blocage du navigateur ou ne répond plus. Le lien peut également geler l'appareil du destinataire ou même le redémarrer.
Bien que la bombe texte puisse également supprimer l'intégralité de la conversation, vos autres données personnelles ne sont pas affectées. La fermeture forcée de l'application Messages et la suppression de l'intégralité de la conversation incriminée de la liste des messages semblent résoudre ce problème..
Cette attaque surcharge apparemment un appareil de plusieurs mégaoctets de texte, composé principalement de marques d'accentuation en cascade Unicode, ce qui ralentit beaucoup la plupart des applications capables d'afficher Unicode. Il pointe vers un bug probable quelque part dans le moteur de rendu Unicode d'Apple.
Un correctif du problème est attendu dans les futures mises à jour iOS et macOS.
L'expert en sécurité informatique Graham Cluley a écrit sur son blog que quelque chose à propos du code du bug ChaiOS donne à votre appareil Apple un remue-méninges. "Honteux du désordre dans lequel il se trouve, Messages décide que la chose la moins embarrassante à faire est de planter", écrit-il.
Bien qu'il s'agisse d'un bug ennuyeux, il s'agit davantage d'une nuisance que de quelque chose qui entraînera le vol de données de votre appareil ou un pirate malveillant pouvant accéder à vos fichiers, a-t-il ajouté..
Ce n'est pas la première fois que nous voyons un exploit qui peut planter un appareil iOS avec un lien.
En mai 2015, un bogue similaire, appelé Puissance efficace, a permis à des personnes mal intentionnées de faire respirer l'iPhone d'un destinataire. Si un utilisateur recevait une bombe texte alors que son combiné était verrouillé, le bug forcerait son téléphone à redémarrer.
Cela me rappelle ces exploits gênants sur l'écran de verrouillage qui nuisaient à iOS depuis des années. On pourrait penser qu'après toutes ces années, Apple finirait par contourner les bugs de texte Unicode.
Avez-vous déjà reçu cette bombe texte? Si tel est le cas, votre appareil est-il tombé en panne ou est-il devenu insensible??
Faites-nous savoir ci-dessous dans les commentaires.
