Nieuws

Bug in iMessage blokkeert je iPhone wanneer je bericht ontvangt

Een onderzoeker is op een fout in iMessage gestoten die ervoor kan zorgen dat je iPhone bevriest of afsluit wanneer je een malafide link ontvangt of erop klikt.

Er is een bug ontdekt in de iMessage app van iOS die hackers de mogelijkheid geeft om je iPhone te saboteren. Door een url op te stellen die inspeelt op de kwetsbaarheid kan je iPhone bevriezen of heropstarten als je op de link klikt of zelfs wanneer je gewoon het bericht aankrijgt. Software-ontwikkelaar Abraham Masri ontdekte de bug en gaf het de naam ‘ChaiOS’ mee.

ChaiOS

Masri stelde een exploit voor ChaiOS op door een webpagina aan te maken op GitHub en de metadata ervan vol te steken met honderduizenden onnodige HTML-karakters. Wanneer je een url doorstuurt via iMessage, genereert de app altijd een preview van de pagina. De aangepaste url geeft het programma echter in een klap zoveel informatie te verwerken dat het zich erin verslikt.

Masri stelt dat de bug zich enkel voordoet in versie 10.0 tot de laatste bèta-versie van iOS. Ook op macOS kan ChaiOS misbruikt worden. In sommige gevallen zorgt het voor een smartphone die enkele minuten bevriest, in andere gevallen veroorzaakt het een kortsluiting waardoor iOS opnieuw opstart. Gebruikers rapporteren diverse reacties van hun smartphone op de exploit. Sommigen ondervinden geen problemen of merken pas iets wanneer ze op link klikken. ChaiOS kan echter ook grote schade aanrichten als de Messages app in een loop belandt door steeds maar weer de link te proberen te genereren. Wanneer dat gebeurt is je enige redmiddel een reset van de telefoon en heb je hopelijk nog een recente backup bij de hand.

https://twitter.com/cheesecakeufo/status/953401511429726210

Doel bereikt

Masri maakte zijn Github-pagina en exploit publiek via Twitter, maar deze werd enkele uren later door GitHub offline gehaald en het account van Masri geblokkeerd. Ondertussen heeft Masri terug toegang tot zijn GitHub-account, maar heeft hij de ChaiOS-pagina verwijderd. De ontwikkelaar stelt dat hij zijn doel bereikt heeft: Apple op de gevaren van de bug wijzen. Masri had zijn ontdekking een week geleden aan de technologiereus gemeld, maar kreeg toen enkel een automatisch bericht terug. “Ik heb mijn punt gemaakt. Apple moet dit soort bugs meer serieus nemen,” aldus Masri.

Apple heeft laten weten dat het aan een patch werkt. Die zou over een week beschikbaar moeten zijn. Ondertussen is er weinig dat je kan doen om je smartphone te beschermen tegen een ChaiOS-exploit. Sommige gebruikers rapporteren dat ze kortsluiting van de app konden tegenhouden door de link snel te verwijderen wanneer ze deze ontvingen.

appleBeveiligingchaiOSiosiphonemobiel

Gerelateerde artikelen

Volg ons

€350 korting op de Tenways CGO600

€350 korting op de Tenways CGO600

Bekijk de CGO600