I ricercatori del Project Zero di Google, team all’interno di Google formato da analisti di sicurezza informatica che si occupa dell’individuazione di vulnerabilità zero-day, hanno reso noti i dettagli di un bug ora risolto che riguardava iMessage. Usando un messaggio creato con particolari caratteri, era possibile bloccare l’iPhone, costringendo il proprietario preso di mira a ripristinare il dispositivo per risolvere il problema.
Come da tradizione da parte di chi individua le vulnerabilità, i dettagli sono stati resi noti passati 90 giorni dalla segnalazione al produttore. Apple ha risolto il problema con l’update a iOS 12.3 e, se non l’avete ancora fatto, è caldamente consigliabile aggiornare prima possibile il proprio dispositivo.
Tecnicamente il messaggio che può bloccare gli iPhone con le precedenti versioni di iOS, è composto con un valore-chiave diverso da una stringa usando un metodo denominato “IMBalloonPluginDataSource _summaryText” che presuppone l’uso di una stringa ma non effettua verifiche, generando un’eccezione.
Il messaggio può essere problematico sia su Mac, sia su dispositivi iOS ma su iPhone provoca problemi diversi. Su macOS l’errore manda in crash il processo “soagent” e lo riattiva, rendendo semplicemente inutilizzabile l’app Messaggi per poco tempo; sull’iPhone il messaggio manda ripetutamente in crash la Springboard (l’applicazione che gestisce la schermata Home di iOS), obbligando al recovering e ripristino del dispositivo.
Non è la prima volta che messaggi creati partendo da caratteri particolari provocano il blocco di iOS; in passato è successo ad esempio con un particolare carattere indiano che consentiva di bloccare l’accesso ai Messaggi e alle app come WhatsApp, Facebook Messenger, Outlook per iOS e Gmail.
Nel 2015 un simile problema si verificava inviando una specifica stringa di caratteri, causando il crash di iOS. Tutti questi problemi sono stati risolti da aggiornamenti di iOS, uno dei motivi per i quali è sempre fondamentale aggiornare il proprio dispositivo.