Error de notificación de Unicode de iOS

Navega tus respuestas
3

Evidentemente, alguien ha descubierto un error de Unicode en iOS , donde hay una aplicación recibe una secuencia específica de Unicode (punto de código de Unicode de repetición infinita), el sistema operativo eliminará el Springboard ya que asigna demasiada memoria, reiniciándola inmediatamente. No puedo incluir la secuencia aquí, porque SE la detecta y niega incluirla en el cuerpo.

Ahora, esto no parece ser un problema serio; "Oh, mi teléfono se reinició al azar. Genial", pero esto representa un gran riesgo para la disponibilidad de dispositivos iOS en todas partes . Por ejemplo, si conozco a una persona que tiene un dispositivo iOS, podría enviar este mensaje de forma anónima a través de una cuenta falsa de Apple a través de iMessage en un dispositivo Mac OSX / iOS para restablecer su teléfono (incluso en el medio de una llamada, ya que se trata de un error de notificación).

Si fuera realmente malicioso, podría escribir un script en Mac OSX para generar una lista de números telefónicos (semi) aleatorios para enviar este mensaje a cada X minutos, poniendo su dispositivo de forma permanente en un estado de reinicio (evitándolos) desde parches, haciendo cualquier cosa importante, etc.).

Apple es consciente del problema y sus desarrolladores lo están solucionando, pero una gran cantidad de usuarios retrasan las actualizaciones tanto como sea posible, o simplemente no se molestan en actualizarlas; esto significa que el problema podría ser una amenaza permanente para ellos.

Métodos que he pensado para solucionar el problema que parecen imposibles:

1.) Inserte un hot-fix en dispositivos iOS (¿está esto implementado?)

2.) Forzar una actualización de la última versión del sistema operativo (parece infringir el contrato de privacidad / ToS)

Dado que esto representa una amenaza para la disponibilidad de los dispositivos Apple, pensé que le preguntaría a los expertos en seguridad: cómo puede Apple asegurarse de que este problema no sea plagado (obsoleto por software) iOS ¿Dispositivos en los próximos años?

Editar : el problema es doble:

1.) La validación previa al envío en iOS requiere una actualización, ya que el código de la lista blanca de caracteres Unicode obviamente no existe todavía, de lo contrario, esto no sería un problema; Es por esto que hice la pregunta.

2.) Este problema no se puede arreglar de manera realista, ya que Apple está retransmitiendo el mensaje, ya que Apple cifra los mensajes antes de que se envíen, y si descifran los mensajes para eliminar Unicode defectuoso, sería una violación de la privacidad de los usuarios.

    
pregunta Chris Cirefice 27.05.2015 - 19:17
fuente

2 respuestas

0

Resulta que Apple sí "arregla" este lado del servidor. Evidentemente, tenían un mecanismo para forzar la desactivación de iMessage cuando un dispositivo intentaba enviar un iMessage.

Esto es anecdótico :

Mi iPhone volvió a los SMS estándar incluso cuando se comunicaba con otros iPhones (que también volvían a SMS), e iMessage en mi iPad dejó de funcionar.

Apple mencionó este error en la actualización 8.4.1 de iOS y, una vez que actualicé, el iMessage de mi dispositivo comenzó a funcionar nuevamente, pero solo con los dispositivos iOS que también se habían actualizado a 8.4.1.

Por lo tanto, es seguro asumir que Apple deshabilitó el lado del servidor iMessage basado en la versión de iOS, y solo permitió que iMessages pasara cuando el destinatario estaba en iOS > 8.4.1 (que tenía la corrección de errores de Unicode).

    
respondido por el Chris Cirefice 26.08.2015 - 19:09
fuente
1

En general, si tengo una aplicación que sé que no necesita el conjunto completo de caracteres UTF8, UTF16 o UTF32, lo limitaré a lo que sea necesario.

Dicho esto, me gustaría lista blanca ciertos conjuntos de caracteres dentro de una codificación. Los caracteres de control especiales serían ignorados o reemplazados usando una expresión regular o similar.

Este concepto es portátil a otras plataformas y tecnologías.

    
respondido por el random65537 27.05.2015 - 19:26
fuente

Lea otras preguntas en las etiquetas

Automatizando el escáner NIKTO Más allá de Nmap: investigando puertos TCP abiertos enlazados a servicios desconocidos