In arrivo la prossima settimana il fix per la falla chaiOS

Leggi questo articolo grazie alle donazioni di Federico Masserini, Alberto Sabbatini.
♥ Partecipa anche tu alle donazioni: sostieni SaggiaMente, sostieni le tue passioni!

Da qualche giorno sta facendo notizia un bug relativo all'app Messaggi di iOS, che per la sua portata è stato ribattezzato chaiOS, unendo il nome del sistema operativo mobile Apple alla parola chaos, il cui corrispettivo italiano è noto e molto simile. Per certi versi, ricorda il bug del 2015 in cui la ricezione di una particolare stringa di testo poteva portare al crash del dispositivo: l'effetto è il medesimo. La falla scoperta dallo sviluppatore Abraham Masri non si basa stavolta su una serie di caratteri, bensì su un link opportunamente congegnato.

Si può vedere il bug in azione nell'immagine soprastante, proveniente da MacRumors. La vittima riceve un link particolare, il cui tentativo da parte di Messaggi di caricarne un'anteprima porta al blocco di iOS per svariati minuti e infine al riavvio. Il problema è purtroppo persistente, dato che da lì in poi l'app diventa di fatto inutilizzabile. Il problema coinvolge tutte le versioni di iOS a partire dalla 10.0 e secondo Masri nemmeno i Mac sono al sicuro da effetti collaterali. Il nocciolo della questione risiede nel modo in cui viene gestita l'anteprima dei link: affinché venga effettuata, Apple invita gli sviluppatori web ad inserire nei loro siti una piccola stringa di codice HTML per generare i metadati idonei. Sostanzialmente, la falla sovraccarica questo processo con un numero di caratteri superiore a quanto si aspetta il sistema operativo, portando al crash.

La falla era stata pubblicata da Masri sul suo account GitHub ed effettivamente l'invio del link alla pagina dedicata metteva fuori uso gli iDevice, agendo quindi come proof-of-concept. Ora è stata rimossa, ma molti hanno già fatto in tempo a prendere tutte le informazioni necessarie per attuare il codice nefasto ed è certo che in questi giorni siano in giro altri link, non solo ospitati su GitHub, pronti a creare guai al malcapitato di turno. Per fortuna, se così si può dire, la gravità del problema in termini di sicurezza è relativamente contenuta, dato che non va ad intaccare i dati personali dell'utente. Si presta pertanto a scherzi non troppo gradevoli di qualche amico burlone, più che ad attacchi informatici da parte di malintenzionati. Ad ogni modo, Apple ha confermato a BuzzFeed che il correttivo arriverà la prossima settimana, chiudendo la vicenda chaiOS una volta per tutte sui canali di rilascio pubblici; su quelli test è già stata chiusa con la recente Beta 6 di iOS 11.2.5.

Giovanni "il Razziatore"

Deputy - Ho a che fare con i computer da quando avevo 7 anni. Uso quotidianamente OS X dal 2011, ma non ho abbandonato Windows. Su mobile Android come principale e iOS su iPad. Scrivo su quasi tutto ciò che riguarda la tecnologia.

Commenti controllati Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.