Da qualche giorno sta facendo notizia un bug relativo all’app Messaggi di iOS, che per la sua portata è stato ribattezzato chaiOS, unendo il nome del sistema operativo mobile Apple alla parola chaos, il cui corrispettivo italiano è noto e molto simile. Per certi versi, ricorda il bug del 2015 in cui la ricezione di una particolare stringa di testo poteva portare al crash del dispositivo: l’effetto è il medesimo. La falla scoperta dallo sviluppatore Abraham Masri non si basa stavolta su una serie di caratteri, bensì su un link opportunamente congegnato.
Si può vedere il bug in azione nell’immagine soprastante, proveniente da MacRumors. La vittima riceve un link particolare, il cui tentativo da parte di Messaggi di caricarne un’anteprima porta al blocco di iOS per svariati minuti e infine al riavvio. Il problema è purtroppo persistente, dato che da lì in poi l’app diventa di fatto inutilizzabile. Il problema coinvolge tutte le versioni di iOS a partire dalla 10.0 e secondo Masri nemmeno i Mac sono al sicuro da effetti collaterali. Il nocciolo della questione risiede nel modo in cui viene gestita l’anteprima dei link: affinché venga effettuata, Apple invita gli sviluppatori web ad inserire nei loro siti una piccola stringa di codice HTML per generare i metadati idonei. Sostanzialmente, la falla sovraccarica questo processo con un numero di caratteri superiore a quanto si aspetta il sistema operativo, portando al crash.
La falla era stata pubblicata da Masri sul suo account GitHub ed effettivamente l’invio del link alla pagina dedicata metteva fuori uso gli iDevice, agendo quindi come proof-of-concept. Ora è stata rimossa, ma molti hanno già fatto in tempo a prendere tutte le informazioni necessarie per attuare il codice nefasto ed è certo che in questi giorni siano in giro altri link, non solo ospitati su GitHub, pronti a creare guai al malcapitato di turno. Per fortuna, se così si può dire, la gravità del problema in termini di sicurezza è relativamente contenuta, dato che non va ad intaccare i dati personali dell’utente. Si presta pertanto a scherzi non troppo gradevoli di qualche amico burlone, più che ad attacchi informatici da parte di malintenzionati. Ad ogni modo, Apple ha confermato a BuzzFeed che il correttivo arriverà la prossima settimana, chiudendo la vicenda chaiOS una volta per tutte sui canali di rilascio pubblici; su quelli test è già stata chiusa con la recente Beta 6 di iOS 11.2.5.