Les appareils d’Apple plantés par des caractères Sindhi

Les appareils Apple sont vulnérables à une attaque par «bombe textuelle» où le simple fait de regarder des messages contenant des caractères en langue Sindhi peut planter les appareils.

Le sindhi est une langue officielle utilisée au Pakistan. La faille affecte l’iPhone, l’iPad, les Mac et les montres Apple et provient du fait que macOS et iOS ne rendent pas correctement un symbole Unicode utilisé lors de l’écriture dans la langue. Parce que le symbole perturbe les systèmes d’exploitation, selon un article du chercheur Graham Cluley de Bitdefender, les appareils se bloquent tout simplement spontanément lorsqu’il apparaît dans une fenêtre de visualisation.

Le problème se présente dans un certain nombre de scénarios différents, y compris si la chaîne de caractères apparaît dans un message texte – en fait, le simple fait de regarder une notification de message contenant un aperçu du message entraînera une panne du système. L’affichage des messages dans les applications conduit au même résultat, tout comme la lecture des publications sur les réseaux sociaux sur son téléphone ou son Mac.

Cluley a noté que le redémarrage complet de l’appareil résout le problème – jusqu’à ce qu’un autre message piégé arrive.

apple

Le problème a été signalé pour la première fois sur Reddit, et a été surnommé “CapturetheFlag” parce que les personnages incriminés sont souvent associés au drapeau italien (le drapeau n’est cependant pas nécessaire pour déclencher un crash). Les messages déclencheurs ont commencé à circuler dans les messages Telegram et sont rapidement devenus viraux sur Twitter, de nombreux farceurs publient des tweets incluant le contenu de la bombe textuelle.

Apple a eu des problèmes linguistiques similaires dans le passé; en 2013, certaines combinaisons de caractères arabes bloquait les Mac et les iPhones; alors qu’en 2018, des messages contenant des lettres de la langue sud-indienne nommé Télougou faisaient la même chose.

D’autres attaques par bombe textuelle qui ne sont pas liées aux symboles Unicode ont été aperçu dans le passé: le bug chaiOS en 2018, par exemple, permettait aux attaquants de planter ou de geler les téléphones simplement en envoyant un message contenant un lien hypertexte vers un code malveillant hébergé sur GitHub . Les destinataires n’avaient besoin que de recevoir les messages malveillants pour que la faille fonctionne: il n’était pas nécessaire de cliquer sur le lien.

Et l’année dernière, un bug sur iMessage a permis aux attaquants de briquer des iPhones utilisant des versions iOS plus anciennes, en envoyant un message spécial à un appareil vulnérable.

iphone sindhi

Dans le cas présent, Apple n’a pas encore publié de déclaration publique sur le problème, mais selon Cluley, la dernière version bêta d’iOS corrige le problème.

«Il intègre déjà un correctif pour le problème – il nous faudra donc peut-être quelques jours seulement pour le diffuser sur nos appareils vulnérables», a-t-il écrit. “En attendant, si vous êtes inquiet ou pensez que vous pourriez être ciblé par un malfaiteur qui prend plaisir à planter votre appareil, vous pourriez être sage de désactiver les aperçus des messages sur votre iPhone.”

Les utilisateurs d’Android ne sont pas concernés par ce bug de sécurité car le système d’exploitation de Google n’est pas affecté.

Apple fait face à plusieurs challenges

Cette nouvelle survient alors qu’Apple fait face à des allégations selon lesquelles deux bugs zero-day dans son iPhone iOS ont été exploités pendant des années. Un rapport largement diffusé par ZecOps a affirmé que les failles de l’application Apple Mail sur les iPhones étaient exploités depuis 2018 par un «opérateur de menace avancé». Cependant, Apple a déclaré dans un communiqué au journaliste de Bloomberg, Mark Gurman, que ces affirmations étaient fausses.

Si cet article vous a plu, jetez un œil à notre article précédent.