أخبار التكنولوجيا، المنتجات و الشركات

احذر: إذا وصلك هذا الرابط على iPhone فسيتعطل هاتفك.. إليك خطوات لتجنُّب انهياره

 

اكتشف مطور البرمجيات أبراهام ماسري ثغرة تدعى “ChaiOS”، ونشرها على موقع GitHub قبل أيام.

صرح ماسري لـBuzzfeed بأنه توصل إلى هذه الثغره في أثناء التلاعب بنظام التشغيل، أو بعبارة أخرى، في أثناء محاولته اختراق نظام التشغيل عن طريق وضع حروف عشوائية داخل الكود الداخلي .

التغريدة التي كتبها ماسري تقول: “القوة الضاربة عادت يا صغيري.. أرسِل الرابط أدناه في رسالة، سيوقف جهاز المستخدم وربما يعيد تشغيله من جديد.. لا تستخدمها في الأغراض السيئة”.

 

👋 Effective Power is back, baby!

chaiOS bug:
Text the link below, it will freeze the recipient’s device, and possibly restart it. https://t.co/Ln93XN51Kq

⚠ Do not use it for bad stuff.
—-
thanks to @aaronp613 @garnerlogan65 @lepidusdev @brensalsa for testing!

— Abraham Masri (@cheesecakeufo) January 16, 2018

رابط هذه الصفحة على GitHub سيعطل هاتفك حتى لو لم تضغط عليه

إذا ما أراد أحدهم أن يُغضبك، فلن يحتاج سوى رقم هاتفك ليفعل ذلك، لا تتطلب الثغرة أي إجراء منك حتى تقوم بعملها.

أحد مستخدمي تويتر وهو أحد من اختبروا الأمر، قال لـhttps://support.apple.com/en-us/HT201252qadj65R” target=”_hplink”>BuzzFeed: “بعد إرسال الرابط، فإن الهاتف سيتوقف بضع دقائق، ثم سيعود للعمل من جديد في أغلب الأحوال”.

وبحسب أرون، فإنه بعد ذلك لن يقوم تطبيق الرسائل بإعادة تحميل أية رسائل، وسيستمر في الانهيار.

وقد اختبر هذه الثغرة على هاتفي آيفونX وآيفون 5s، وقال إن الثغرة تؤثر على نسخ أنظمة تشغيل ios من 10.0 وحتى 11.2.5 بيتا 5 (beta 5). لكنه لم يختبر مدى قابلية آخر نسخة من نظام iOS وهي 11.2.5 بيتا 6 (beta 6) والتي صدرت مؤخراً. تستطيع الثغرة أيضاً التأثير على حواسب ماك، بحسب ما قال ماسري.

ليست هذه هي الثغرة الأولى من نوعها في تطبيق رسائل الآيفون؛ ففي 2015 تسببت سلسلة قصيرة من أحرف اليونيكود في تعطيل الأجهزة، وفي 2016 تسبب رابط سيئ في تعطيل متصفح سفاري (Safari) الخاص بحواسب وهواتف آبل.

حينما يرسل أحدهم رابطاً لأحد المواقع عبر رسائل نظام ios، فإن التطبيق يقوم بعرض هذا الرابط. وبحسب دليل البرمجة الخاص بـApple، فإن النظام يسمح لمطوري البرمجيات بوضع بعض الحروف في روابط مواقعهم الإلكترونية لتخصيص الصورة والعنوان لذلك الرابط في أثناء عملية المعاينة بالرسائل.

إليكم كيف تبدو معاينة الروابط في رسائل الفيسبوك

 

بدلاً من عددٍ قليلٍ من الأحرف، أدخل ماسري مئات الآلاف من الأحرف في البيانات الخلفية لصفحة الموقع، أو ما يُعرف بواصفات البيانات، أكثر بكثير مما توقع نظام تشغيل ios؛ وهو ما أسفر عن تعطل تطبيق الرسائل، حسبما يظن ماسري. ثم قام بوضع الرمز على موقع GitHub، ما جعله متاحاً ليستخدمه الآخرون.

لم تستجب آبل بشكل فوري لطلب التعليق على الأمر.

أُوقفت صفحة GitHub وتم تعطيل حساب ماسري.. لكن ذلك لا يعني أن مستخدمي iOS آمنون

أضاف ماسري: “صفحتي على GitHub متاحة بشكل علني، مما يعني أنه بوسع أي شخصٍ نسخ الكود، أنا متأكد من أن شخصاَ آخر نشر الكود، لكنني لن أعيد استضافة الرابط مرة أخرى”.

قامت GitHub بتعليق حساب ماسري، ثم أعادته بعد بضع ساعات، لكن كود الثغرة كان قد حُذف من صفحة حسابه.

من المرجح أنه جرى إعادة تحميل الروابط الكودية في أي مكان آخر، وقد تكون هناك روابط أخرى تستغل هذه الثغرة ChaiOS. قال ماسري إنه نشر هذا الخطأ أو الثغرة؛ لتنبيه آبل.

وأضاف: “لم تكن نيتي إساءة استخدامها، لقد كان غرضي هو الوصول لآبل وإعلامهم بأنهم يتجاهلون تقاريري عن الثغرات، فأنا دائماً ما أبلغ عن الأخطاء قبل الإعلان عنها”.

وأضاف ماسري أنه تلقى رسالتي بريد إلكتروني تلقائي من آبل بعدما أبلغ في 15 يناير/كانون الثاني 2018، لكنه لم يتلقَ إجابة تشير إلى أن الشركة تضع الأمر في الاعتبار أو تخطط لإصلاحه، إن ChaiOS ليست الثغرة الأولى التي أخبر بها آبل، يقول: “ذات مرة أبلغت عن ثغرةٍ تُعرض شاشة العرض للتوقف، يجب ألا يكون ذلك ممكناً، خاصة أن الثغرة تعمل على أحدث نسخة من IOS، لكنني بعدما أرسلت لهم، قالوا إنهم لا يعتبرون هذا أمراً مقلقاً”.

“لقد كانت الثغرة التي نشرتها للفت انتباه آبل. إنه مجرد ملف HTML، وعادة ما يستضيف GitHub روابط اختراق وحتى ملفات ipa، التي قد تحوي ملفات ضارة، لا أفهم لماذا تحظرون حسابي! وبالمناسبة، دائماً ما أُبلغ عن الثغرات قبل الإعلان عنها”.

The bug I released was to get @Apple‘s attention. It’s just an html file.@Github always hosted jailbreaks (even .ipa files) that might’ve included malware. I don’t understand why you’d ban my account.
Btw, I always report bugs before releasing them.

— Abraham Masri (@cheesecakeufo) January 17, 2018

لم تستجب آبل لطلب التعليق بشكل فوري عما إذا كانت تلقت تقارير الأخطاء والثغرات التي أرسلها ماسري.

يضيف ماسري: “ما الذي يمكننا فعله الآن؟ إذا تلقيت رسالة بها رابط سيئ لتفعيل ثغرة ChaiOS فقم بمسح الرسالة لو استطعت ذلك”.

في بعض الحالات، إذا قمت بفتح تطبيق الرسائل، فسيستمر في الانهيار حتى قبل أن تستطيع حذف الرسالة. إذا كانت الرسالة قد تسببت في دورة متكررة من تعطيل الهاتف، فبإمكانك أن تقوم بعمل إعادة ضبط المصنع للهاتف، لكن حينها ستُمحى الصور والبيانات المحفوظة، وإعدادات الهاتف.

ينصح ماسري بالتحديث الدائم لهاتفك من طراز آبل أو الأيباد، حتى آخر نسخة من نظام تشغيل IOS؛ فهو يحوي مسارات حماية من مثل هذه الثغرات.

اقترح بعض المستخدمين تعطيل رابط تشغيل GitHub على متصفح Safari، عن طريق اختيار: إعدادات التطبيق< عام< القيود< تفعيل القيود< المواقع< الحد من محتوى البالغين< عدم السماح مطلقاً< GitHub.io.

سوف يحميك ذلك، فقط إذا أُعيد نشر المعلومات البرمجية على GitHub، لكنها لن تكون فعالة إذا نشرها أحدهم على خوادم الويب الخاص به.

 

كيف تحمي حماية نفسك

 

قم بحظر (رابط النطاق) عبر إعدادات القيود في سفاري، وحينها لن يقوم الآيفون بتحميل الرابط حتى لو تلقاه.

How to protect yourself: block the domain in safari restrictions, iPhone wont overload even if you get the link pic.twitter.com/lHrrczTuWS

— Eric Ramírez (@eric_rmrz) January 17, 2018

 

المصدر: اضغط هنا


اشتراك مجاني
اشتراك مجاني
لتصلك الاخبار وللمشاركة في المسابقات ادخل بريدك الالكتروني
يمكنك الغاء الاشتراك ساعة ما تشاء
اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.

يستخدم هذا الموقع ملفات تعريف الارتباط لتحسين تجربتك. سنفترض أنك موافق على ذلك ، ولكن يمكنك إلغاء الاشتراك إذا كنت ترغب في ذلك. قبول قراءة المزيد