Tre Arabiske bogstaver er alt hvad der skal til for at få et utal af applikationer på iOS og OSX til at fejle. Den magiske tre-bogstavs kombination kan anvendes på mange forskellige måder, men er mere til irritation end en reel sikkerhedstrussel. Fejlen befinder sig teknisk i Apples CoreText font rendering framework og kan misbruges på alle versioner af iOS og OSX (omfang kan variere) dog ikke iOS7.
CSIS har testet dette i forskellige scenarier og det er muligt at få Apple's software til at crash ved bl.a. at lokke en person til at besøge en webside, at poste en besked på sociale netværk f.eks. Twitter, Google+, Linkedin, som så indlæses med et Apple device, at broadcaste de tre tegn i forbindelse med en SSID, at sende tekst filer til bluetooth devices med en Apple mac addresse og endeligt - og værst af alt - at sende en SMS besked til en modtager, som ved læsning, vil få postklienten til at fejle.
Hos Facebook har man faktisk handlet hurtigt og har allerede nu blokeret for bogstavskombinationen.
En test side, hvor fejlen er inkluderet, kan findes herunder (!):
https://zhovner.com/tmp/killwebkit.html
NB: Ved at besøge ovenstående URL med et Apple device risikerer man, at applikationen fejler og at data derved kan gå tabt!!
↧
CSIS Blog: Tre tegn der dræber Apple
↧