Vulnerabilità DoS per le chiamate di gruppo su Facebook Messenger su iOS sfruttata tramite Emoji

Nel 2017, è stata rivelata una vulnerabilità nel sistema operativo iOS che permetteva di far crashare gli iPhone e iPad semplicemente inviando un testo specifico contenente emoji. Questa vulnerabilità, nota per essere causata da una combinazione di caratteri e emoji, ha causato problemi ai dispositivi iOS 10 e successivi. In questo articolo, esploreremo come funziona questa vulnerabilità, come è stata sfruttata e quali suggerimenti e consigli possiamo dare per proteggersi.

Come Funziona la Vulnerabilità

La vulnerabilità in questione è stata scoperta da EverythingApplePro, un YouTuber noto per le sue scoperte di bug e vulnerabilità nel sistema operativo iOS. La vulnerabilità si basa su una combinazione di caratteri e emoji che confonde il sistema operativo iOS quando tenta di combinare questi elementi in un simbolo di bandiera arcobaleno[1].

Il testo specifico che causa il crash è composto da un triangolo bianco (flag), il numero “0” e un arcobaleno (rainbow emoji). Quando questo testo viene ricevuto, il sistema operativo tenta di combinare questi elementi in un simbolo di bandiera arcobaleno, ma fallisce, causando il crash del’applicazione di messaggistica e il riavvio del dispositivo in pochi minuti. Questo avviene anche se il destinatario non apre o legge il messaggio.

Metodi di Sfruttamento

Esistono due metodi principali per sfruttare questa vulnerabilità:

1. Inviare il Testo Specifico via Messaggio:
   • Inviare il testo specifico (triangolo bianco, numero “0” e arcobaleno) come messaggio standard tramite iMessage.
   • Questo metodo sembra colpire principalmente i dispositivi con iOS 10.1 o precedenti.
2. Salvare il Testo come Contatto e Inviarlo via iCloud:
   • Salvare il testo specifico come file di contatto.
   • Inviarlo tramite la funzione di condivisione di iCloud ai contatti di iMessage.
   • Questo metodo può causare il crash anche su dispositivi con iOS 10.2 e successive versioni[1].

Impatto e Rischi

La vulnerabilità può causare il crash del dispositivo senza che il destinatario debba interagire con il messaggio. Ciò significa che anche se il destinatario non apre o legge il messaggio, il dispositivo potrebbe comunque riavviarsi. Questo può essere particolarmente problematico in situazioni dove il dispositivo è utilizzato in modo critico, come nel caso di dispositivi utilizzati per lavoro o servizi essenziali.

Suggerimenti e Consigli per la Protezione

1. Aggiornare il Sistema Operativo:
   • Assicurarsi di avere sempre l’ultima versione del sistema operativo iOS installata. Apple ha rilasciato diverse patch per risolvere questa vulnerabilità, quindi è importante mantenere il sistema aggiornato[1][3].
2. Evitare di Aprire Messaggi Sospetti:
   • Se ricevi un messaggio con un testo sospetto, non aprire il messaggio. Invece, segnalare il messaggio come spam o segnalarlo all’amministratore del servizio di messaggistica.
3. Non Utilizzare la Funzione di Condivisione di iCloud per File di Contatto Sospetti:

• Evitare di condividere file di contatto tramite iCloud se non si è sicuri della loro sicurezza.

4. Utilizzare App di Messaggistica Alternative:
   • Considerare l’uso di app di messaggistica alternative che potrebbero essere meno vulnerabili a queste tipologie di attacchi.
5. Segnalare i Problemi a Apple:
   • Se si incontra questa vulnerabilità, segnalare il problema a Apple attraverso i canali di supporto ufficiali. Questo aiuterà Apple a identificare e risolvere la vulnerabilità più rapidamente.

La vulnerabilità di Denial of Service (DoS) nel messaggero iOS tramite emoji rappresenta un esempio di come le vulnerabilità possono essere sfruttate per causare danni ai dispositivi. Tuttavia, seguendo i suggerimenti e i consigli forniti, è possibile ridurre significativamente il rischio di essere colpiti da questa vulnerabilità. È importante mantenere il sistema operativo aggiornato, evitare di aprire messaggi sospetti e utilizzare prudenza quando si condividono file di contatto. Segnalare i problemi a Apple aiuterà a migliorare la sicurezza del sistema operativo e a prevenire future vulnerabilità.

Fonte: https://cybersecuritynews.com/ios-messenger-dos-vulnerability-emoji