Si el pasado mes
Apple se veía afectada por una vulnerabilidad en iOS e iMessage, denominada
chaiOS (CVE-2018-4100), esta semana se ha vuelto comprobar que los ataques mediante
caracteres Unicode siguen en total vigencia, con una nueva variante, al recibir
caracteres en lengua Telugu (India).
El error es debido a
una incorrecta gestión de los caracteres Unicode que forman parte del set
Telegu, la segunda lengua más utilizada en India.
En concreto, la
secuencia en formato Unicode "U+0C1C U+0C4D U+0C1E U+200C U+0C3E",
desencadenaría que cualquier usuario que reciba o procese un mensaje o
notificación que utilice dicha combinación, pueda comprobar como la aplicación
utilizada se bloquea o, simplemente, se cierra.
Un estudio más
completo por parte del desarrollador Manish Goregaokar (@Manishearth), ha
determinado que existen más combinaciones, incluso de otras lenguas como la
Bengalí, que reproducen el fallo, y otros usuarios han publicado scripts con
las posibles variantes.
Actualmente, ésta
vulnerabilidad de denegación de servicio o "Text bomb" sigue sin
poder resolverse de manera oficial, y se verían afectadas todos las versiones
de iOS, macOS, watchOS y, por ende, cualquier aplicación instalada. Por
ejemplo, diferentes pruebas han demostrado que se pueden provocar fallos en
iMessage:
O incluso en el
gestor de redes, al utlizar esa combinación en el nombre de una red wifi (el
SSID), tal y como pudo comprobar el investigador @info_dox:
Apple está preparando
un conjunto de actualizaciones que serán desplegadas lo antes posible.
Más información:
- Picking Apart the Crashing iOS String https://manishearth.github.io/blog/2018/02/15/picking-apart-the-crashing-ios-string/
- Basta un solo carattere per far crashare qualsiasi
prodotto Apple (video) http://www.mobileworld.it/2018/02/14/carattere-indiano-crash-iphone-mac-ipad-144881/
- Script to generate all Devanagari, Bangla and Telugu
strings known or suspected to crash macOS and iOS https://github.com/hackbunny/viramarama
- The latest iOS update fixes a glitch that would let
others crash your phone with a text message https://techcrunch.com/2018/01/23/the-latest-ios-update-fixes-a-glitch-that-would-let-others-crash-your-phone-with-a-text-message/
- About the security content of iOS 11.2.5 https://support.apple.com/en-gb/HT208463
Fuente: Hispasec