Итальянский блог Mobile World обнаружил очередную ошибку в работе iPhone и macOS: получение лигатуры из символов индийского языка блокирует мессенджер, в котором он был переслан. С начала 2018 года это уже как минимум третья уязвимость в iOS 11 на продуктах Apple, о которой стало известно. Рассказываем, что угрожает вашим гаджетам и как избежать неприятностей.
Опасная «телуга»
Вышеупомянутая ошибка ОС, позволяющая отключить iPhone, заключается в том, что получение лигатуры из символов индийского языка телугу блокирует в iPhone такие приложения, как iMessage, Facebook Messenger и WhatsApp. Знак также влияет на работу Safari и встроенное приложение «Сообщения» на macOS и Apple Watch, а безопасными остались только Telegram и Skype.
Если быть точным, опасный символ является лигатурой (набором) из знаков среднеюжно-дравидийского языка, на котором в Индии говорят около 70 млн человек (примерно 5% от всего населения). Если символ загружается и отображается в приложении WhatsApp, Twitter и т. д., соответствующее приложение будет аварийно завершено и будет закрываться каждый раз при попытке запуска.
Что делать: Mobile World нашли пока что единственный способ восстановить работу приложений — их переустановка или установка бета-версий iOS или macOS. Apple пообещала, что ошибка iPhone будет исправлена весной в iOS 11.3, однако The Verge предполагает, что эта ошибка заставит Apple поторопиться, и в ближайшее время мы увидим обновление iOS 11.2.6.
СhaiOS-баг, запускающий перезагрузку iPhone
17 января пользователь Twitter Абрахам Масри обнаружил chaiOS-баг. В своем микроблоге он опубликовал ссылку, переход по которой провоцировал зависание iPhone, дальнейшую перезагрузку системы и блокировку работы мессенджеров. В комментарии Масри просил не использовать баг во вред кому-то.
Проблема возникала из-за перехода на страницу с большим количеством UTF-символов по ссылке в полученном сообщении. При получении ссылки на страницу, мессенджеры iPhone пытались сгенерировать для нее превью, но так как страница содержала большое количество символов, система не могла справиться с этой задачей и зависала. Как выяснилось, страница также могла внести сбой в работу Safari и некоторых других интернет-браузеров.
Что делать: В iOS 11.2.5 баг был устранен, однако если у вас стоят более ранние версии операционной системы, то данная уязвимость еще существует. Устранить неполадку можно, открыв в Safari ссылку и принять опцию «перейти в сообщения». После этого мессенджеры должны заработать и можно будет удалить чат с вредоносным сообщением.
Сокращение скорости процессора у iPhone 6S и iPhone 7
Обладатели iPhone 6, 6S, 7 и SE могли заметить, что после установки обновленных версий iOS и приложений смартфоны начинают работать медленнее и чаще перезагружаются, потому что батарея не может поддерживать максимальную производительность телефона. Это вызвало обвинения со стороны пользователей iPhone в том, что компания подталкивает потребителей к преждевременным обновлениям через запланированное устаревание.
В начале февраля Apple заявила, что с обновлением iOS до версии 11.3 обладатели iPhone 8, 8 Plus и X больше не столкнутся с такой проблемой: «Модели iPhone 8, iPhone 8 Plus и iPhone X включают обновления, позволяющие использовать более совершенную систему управления производительностью телефонов, которая позволяет iOS избегать неожиданных отключений», — говорится в заявлении, опубликованном на The Verge.
Что делать: В декабре 2017 года компания Apple официально признала, что батареи в этих моделях быстро устаревают, и предложила своим пользователям менять их по сниженной цене. Кстати, в России батареи в моделях iPhone 6s меняют бесплатно.
На официальном сайте Apple говорится: «Компания Apple определила, что очень небольшой процент устройств iPhone 6S может неожиданно выключаться. Эта проблема не связана с безопасностью и затрагивает только устройства, выпущенные в период с сентября по октябрь 2015 года и имеющие серийный номер в ограниченном диапазоне. Если вы столкнулись с этой проблемой, воспользуйтесь средством проверки серийных номеров ниже, чтобы узнать, подлежит ли аккумулятор вашего iPhone 6S бесплатной замене».
Права суперпользователя на macOS High Sierra
В декабре 2017 года турецкий эксперт по информационной безопасности Леми Орхан обнаружил уязвимость в системе безопасности macOS High Sierra и сообщил об этом в своем микроблоге в Twitter. >Уязвимость позволяла любому пользователю Mac получить права системного администратора и доступ к любым данным устройства, включая системные файлы, даже не вводя пароль. В опасности оказалась версия macOS 10.13.1.
Взломать систему было очень просто: для этого в разделе настроек «Пользователи и группы» необходимо было нажать на кнопку с замком, после чего открывалось окно с требованием ввести логин и пароль. В первое поле необходимо было ввести root, а второе активировать кликом, но оставить пустым, и после этого нажать Enter.
Apple удалось устранить ошибку менее чем через 24 часа после того, как она была обнаружена. «Безопасность — главный приоритет в каждом продукте Apple», — говорилось в сообщении Apple. — Мы очень сожалеем об этой ошибке и приносим свои извинения всем пользователям Mac. Наши клиенты заслуживают лучшего. Мы проверяем наши процессы разработки, чтобы предотвратить эту ситуацию в будущем».
Что делать: Apple обнаружила и опубликовала пошаговую инструкцию по ее устранению путем изменения пароля корневого пользователя.
Утечка загрузочного кода для iOS9
8 февраля часть исходного кода iOS была опубликована в хранилище программных кодов GitHub, однако после этого ссылка была оперативно удалена. Код, об утечке которого первым сообщил портал Motherboard, имел отношение к iBoot — модулю операционной системы iPhone, отвечающему за доверенную загрузку, то есть обеспечивающему необходимые проверки остальных модулей iOS перед их загрузкой в память телефона. Проще говоря, программе, которая запускает систему при первом включении вашего iPhone и гарантирует, что выполняемый код действителен и написан программистами Apple.
Специалист департамента анализа защищенности Digital Security Егор Салтыков подтверждает, что на GitHub был слит не весь программный код iOS 9, а только ядро или его часть. «Если код, который был украден/похищен/слит, не сильно менялся при разработке новых версий iOS, то это хороший подарок исследователям/участникам bug bounty и потенциальным злоумышленникам для создания 0day эксплоитов/новых jailbreak’ов и прочих штук-дрюк», — говорит он.
Несмотря на то что код с GitHub удален, он сохранился в интернете на других сайтах. Джонатан Левин, автор книг о системном программировании iOS и macOS, назвал эту «утечку самой большой в истории», с учетом того, насколько сильна защита Apple от подобных ситуаций.
Что делать: Пользователям продукции Apple эта утечка скорее всего ничем не грозит. В официальном сообщении Apple, опубликованном на TechCrunch, говорится: «Старый исходный код трехлетней давности, похоже, просочился в сеть, но безопасность наших продуктов не зависит от секретности нашего исходного кода. В наши продукты встроено множество программ и программных средств защиты».
Специалист отдела исследований безопасности мобильных приложений Positive Technologies Николай Анисеня также считает, что пользователям не нужно предпринимать каких-то специфических мер: «Но все же стоит лишний раз задуматься о том, что полагаться только на безопасность iOS нельзя. Важно самостоятельно обеспечить многоуровневую защиту своих данных. Например, настроить (где это возможно) усложненный вход в аккаунт (использовать фильтрацию по IP-адресам, двухфакторную аутентификацию); убедиться, что на сохраненных в телефоне банковских картах лежит сумма, с которой не страшно расстаться в случае чего; не хранить действительно важные данные на устройстве (совсем личные фото/видео, секретные документы, ключи шифрования и т. д.). И конечно же, следует оперативно обновлять свои устройства до последней версии ОС и ПО».