Arriva chaiOS, l’attacco che blocca l’iPhone iOS con un messaggio

Gen 18, 2018 Marco Schiaffino Attacchi, In evidenza, News, RSS, Vulnerabilità 3

Basta un SMS con un link per mandare in crash il sistema operativo dello smartphone. E non serve nemmeno che la pagina venga aperta…

Per il momento non si è scatenato il passaparola e i casi di attacchi di questo tipo si contano sulle dita di una mano. Il rischio, però, è che nei prossimi giorni chaiOS possa trasformarsi in un grosso problema per gli utenti Apple.

L’attacco, basato su una vulnerabilità scoperta dallo sviluppatore software Abraham Masri, non richiede che la vittima interagisca in alcun modo e si attiva semplicemente quando il messaggio viene consegnato.

Ma come funziona? In pratica Masri ha scoperto che se si inserisce una gran quantità di caratteri nei metadati di una pagina Web, Safari va in crash (portandosi dietro tutto il sistema operativo) e blocca completamente il dispositivo.

Il problema è che l’apertura del link non avviene quando l’utente lo seleziona, ma prima. Il sistema operativo mobile di Apple, infatti, utilizza un sistema per cui le pagine vengono caricate in anticipo per visualizzare l’anteprima della pagina nel messaggio.

Peccato che in questo modo offre il fianco a un attacco che, per le sue caratteristiche, più che all’utilizzo da parte di veri pirati informatici, si presta più all’uso da parte di burloni e scocciatori vari.

Per evitare un’escalation in questo senso, Masri ha dichiarato di non aver diffuso il codice per la pagina Web utilizzata per i suoi test e, per fortuna, sembra che non sia così semplice da replicare.

In un primo momento, però, aveva pubblicato il link e il codice su GitHub, che ha sospeso il suo account e lo ha ripristinato solo dopo che ha rimosso il tutto.

Inviare un tweet di questo tipo è praticamente un invito a provocare una vera pioggia di “messaggi trappola”. Evidentemente nessuno ha spiegato bene ad Abraham Masri il concetto di “responsible disclosure”.

Il rischio che qualcuno cominci a farlo circolare, quindi, c’è. E le soluzioni, in attesa di un aggiornamento di iOS che risolva il problema, sono piuttosto poche.

Una è quella di bloccare il dominio nelle impostazioni delle Restrizioni in iOS. Per farlo basta abilitare le restrizioni e attivare la voce Limita i contenuti per adulti. È necessario poi inserire il dominio nella sezione NON CONSENTIRE MAI.

Naturalmente questa soluzione può funzionare nel caso in cui conosciamo il link che potrebbe essere usato, per esempio se qualcuno dovesse pubblicare una nuova pagina Web con il codice di chaiOS e si innescasse un passaparola tra chi pensa che sia una buona idea mettere K.O. lo smartphone di un conoscente con un SMS. Il problema, però, è che se dovesse comparire su un dominio diverso, il filtro non servirebbe a nulla.

Nel caso in cui si ricevesse un messaggio del genere, le soluzioni per uscire dall’empasse sono due: cercare di cancellare il thread di messaggi prima del crash del telefono o eseguire il ripristino alle condizioni di fabbrica, con la conseguente perdita di tutti i dati non memorizzati nel backup.

Condividi l'articolo