Apple il problema lo ha risolto una settimana fa rilasciando un piccolo aggiornamento di 40 mega. Eppure il caso è assai singolare: iOS 11.2.5, il sistema operativo dei dispositivi di Cupertino, si bloccava a causa di un carattere indiano: il "Telugu Char”.
Ma cos'è il Telugu? Il Telugu è un particolare carattere utilizzato dal 5% della popolazione indiana e per questo non molto diffuso. Eppure era abbastanza “potente" da mandare in crash i sistemi Apple. Il carattere nello specifico è raffigurato nella seguente immagine; il carattere viene rilasciato esclusivamente in formato “immagine" e non viene appositamente “scritto” per evitare di mandare in blocco i dispositivi non aggiornati durante la lettura del presente testo.
Cosa succedeva ai device Apple
L’interpretazione di questo carattere da parte del sistema operativo non è stata opportunamente validata ed evidentemente i gli “unit testing” progettati dagli ingeneri di Cupertino, ovvero i test di collaudo delle singole unità di software, non comprendevano casi su tali caratteri. Di fatto l’interpretazione da parte di un sistema operativo di un qualsiasi carattere significa leggere un charset (un simbolo codificato), interpretarlo (saperlo distinguere tra gli altri simboli) e disegnarlo su video (processo di rendering).
Applicando tale processo a questo specifico carattere qualche cosa “va storto” e l’eccezione generata dal processo di interpretazione non viene correttamente gestita causando il crash (blocco) delle applicazioni coinvolte dal processo stesso.
Per esempio Whatsapp, Twitter, Outlook per iOS, Safari, Messenger, Message, sono alcune delle applicazioni che subiscono un “blocco” durante la visualizzazione del carattere. Un problema leggermente superiore viene causato da applicazioni “chiuse”, in quel caso specifico iOS prova a visualizzare il carattere nella SpringBoard (schermata di Home) mandandola in blocco ripetutamente, a volte richiedendo il boot dell’ intero sistema.
Il bug usato per far bloccare i device
Alcuni sedicenti attaccanti hanno iniziato ad utilizzare questa vulnerabilità, già poche ore dopo l'annuncio, per mandare in “crash” massivo sistemi iOS inviando Sms causali e popolando social networks come per esempio: Facebook e Twitter con tale carattere. Numerosi troller hanno anche avviato campagne di scrittura automatica su forum e blog (commenti principalmente) contenenti tale carattere con il fine ultimo di “denial of service”, ossia bloccare il dispositivo della vittima attendendo che la vittima visualizzi tale carattere semplicemente navigando sul web e/o utilizzando il proprio social network preferito.
In poco piu di un mese sono già due i bug “simili”, il presente e il chaiOS attraverso il quale il sistema iOS andava in “blocco” visualizzando una semplice pagina web appositamente creata.