ИБ-эксперт Абрахам Масри обнаружил баг chaiOS, который позволяет спровоцировать «зависание» приложения iMessage.
Атаку chaiOS можно провести как на iOS, так и на macOS. Эксперты из Yalu Jailbreak утверждают, что данная атака может быть проведена против iMessage в macOS High Sierra, iOS 10.3.3 и iOS 11.2.1. Масри подтвердил, что баг доступен для атаки на устройствах iPhone 5S и iPhone X.
Хакер должен передать жертве ссылку на сайт, на котором находится файл, в чьи метаданные добавлены сотни тысяч бессмысленных символов. iMessage не сможет загрузить такую ссылку, что приведет к «зависанию» самого приложения и всей системы.
Несмотря на то, что Масри разместил ссылку на PoC-эксплоит в Twitter, его быстро удалили с GitHub ввиду угрозы использования в преступных целях. Однако пользователи все же успели скачать и загрузить эксплоит на частные серверы, откуда удалить его уже сложно. Скорее всего, в ближайшее время многие владельцы устройств Apple станут целями для пранкеров.
В Apple на следующей неделе обещают выпустить патч. Тем, кто уже подвергся атаке chaiOS, должен очистить историю разговора с пранкером, осуществить сброс устройства до заводских настроек либо ждать патч.