Este bug foi detetado pelo blog italiano Mobile World, e que representa um bug grave no horizonte de periféricos da Apple, como é o caso dos IPads, Macs e até mesmo os dispositivos Watch OS que executam versões mais recentes do seu sistema operativo.
Tal como numa falha anterior — “text bomb” — esta nova falha pode ser explorada por qualquer pessoa, enviando para isso apenas um carater da língua indiana Telugu, falada por aproximadamente cerca de 70 milhoes de pessoas.
Quando esse careter é digitado, ou quando as aplicações recebem o carater bomba e tentam carregá-lo e parsear a mensagem, os dispositivos bloqueiam. Esta falha acontecer em iPhones, iPads, Macs, Apple Watches e Apple TVs rodando o iOS Springboard da Apple.
O dispositivo não funciorará corretamente até que o carater seja removido — isso implica, por exemplo, a exclusão de toda a conversa na sua app de mensagens.
A maneira mais fácil de excluir a mensagem é p.ex. pedir a outra pessoa para enviar uma mensagem para a app que está bloqueando devido ao carater bomba. Isso permitiria pular diretamente a notificação e excluir todo o segmento que contém o carater.
O envio deste carater pode bloquear apps de terceiros, como iMessage, Slack, Facebook Messenger, WhatsApp, Gmail e Outlook para iOS, bem como Safari e Mensagens para as versões mais atuais do macOS. Os utilizadores do Telegram e do Skype parece não serem afetados por este bug.
A Apple foi informada do bug há pelo menos três dias e planeiam resolver o problema numa atualização do iOS logo antes do lançamento do iOS 11.3 nesta primavera.
A versão beta iOS 11.3, atualmente publicada, parece não estar afetada.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.