{"id":2122,"date":"2018-01-18T19:13:57","date_gmt":"2018-01-18T18:13:57","guid":{"rendered":"https:\/\/roccadomenico.it\/wordpress\/?p=2122"},"modified":"2018-01-18T19:20:45","modified_gmt":"2018-01-18T18:20:45","slug":"chaios-iphone-va-blocco","status":"publish","type":"post","link":"https:\/\/roccadomenico.it\/wordpress\/chaios-iphone-va-blocco\/","title":{"rendered":"chaiOS e il tuo iphone va in blocco"},"content":{"rendered":"<p>&nbsp;<\/p>\n<section id=\"contents\" class=\"clearfix\">\n<div class=\"row\">\n<div class=\"container \">\n<div class=\"sidebar_content\">\n<div class=\"p7ehc-a grid_7\">\n<div id=\"p7EHCd_1\">\n<div id=\"post-6125\" class=\"post-6125 post type-post status-publish format-standard has-post-thumbnail hentry category-attachi category-in-evidenza category-news category-rss category-vulnerabilita tag-abraham-masri tag-chaios tag-ios tag-iphone tag-marco-schiaffino tag-safari\">\n<h5><em>Basta un SMS con un link per mandare in crash il sistema operativo dello smartphone. E non serve nemmeno che la pagina venga aperta\u2026<\/em><\/h5>\n<p>Per il momento non si \u00e8 scatenato il passaparola e i casi di attacchi di questo tipo si contano sulle dita di una mano. Il rischio, per\u00f2, \u00e8 che nei prossimi giorni chaiOS possa trasformarsi in un grosso problema per gli utenti Apple.<\/p>\n<p>L\u2019attacco, basato su una vulnerabilit\u00e0 scoperta dallo sviluppatore software\u00a0<strong>Abraham Masri<\/strong>, non richiede che la vittima interagisca in alcun modo e\u00a0<strong>si attiva semplicemente quando il messaggio viene consegnato<\/strong>.<\/p>\n<p>Ma come funziona? In pratica Masri ha scoperto che se si inserisce una gran quantit\u00e0 di caratteri nei metadati di una pagina Web,\u00a0<strong>Safari va in crash\u00a0<\/strong>(portandosi dietro tutto il sistema operativo) e blocca completamente il dispositivo.<\/p>\n<p>Il problema \u00e8 che l\u2019apertura del link non avviene quando l\u2019utente lo seleziona, ma prima. Il sistema operativo mobile di Apple, infatti, utilizza un sistema per cui\u00a0<strong>le pagine vengono caricate in anticipo per visualizzare l\u2019anteprima della pagina nel messaggio<\/strong>.<\/p>\n<p>Peccato che in questo modo offre il fianco a un attacco che, per le sue caratteristiche, pi\u00f9 che all\u2019utilizzo da parte di veri pirati informatici, si presta pi\u00f9 all\u2019uso da parte di burloni e scocciatori vari.<\/p>\n<p>Per evitare un\u2019escalation in questo senso, Masri ha dichiarato di non aver diffuso il codice per la pagina Web utilizzata per i suoi test e, per fortuna, sembra che non sia cos\u00ec semplice da replicare.<\/p>\n<p>In un primo momento, per\u00f2,\u00a0<strong>aveva pubblicato il link e il codice su GitHub<\/strong>, che ha sospeso il suo account e lo ha ripristinato solo dopo che ha rimosso il tutto.<\/p>\n<div id=\"attachment_6126\" class=\"wp-caption aligncenter\">\n<p><a href=\"https:\/\/i0.wp.com\/www.securityinfo.it\/wp-content\/uploads\/2018\/01\/tweet.png\" rel=\"prettyPhoto[6125]\"><img data-recalc-dims=\"1\" fetchpriority=\"high\" decoding=\"async\" class=\"wp-image-6126\" src=\"https:\/\/i0.wp.com\/www.securityinfo.it\/wp-content\/uploads\/2018\/01\/tweet.png?resize=600%2C659\" sizes=\"(max-width: 600px) 100vw, 600px\" srcset=\"https:\/\/www.securityinfo.it\/wp-content\/uploads\/2018\/01\/tweet.png 628w, https:\/\/www.securityinfo.it\/wp-content\/uploads\/2018\/01\/tweet-273x300.png 273w\" alt=\"chaiOS iPhone\" width=\"600\" height=\"659\" \/><\/a><\/p>\n<p class=\"wp-caption-text\">Inviare un tweet di questo tipo \u00e8 praticamente un invito a provocare una vera pioggia di \u201cmessaggi trappola\u201d. Evidentemente nessuno ha spiegato bene ad Abraham Masri il concetto di \u201cresponsible disclosure\u201d.<\/p>\n<\/div>\n<p>Il rischio che qualcuno cominci a farlo circolare, quindi, c\u2019\u00e8. E le soluzioni, in attesa di un aggiornamento di iOS che risolva il problema, sono piuttosto poche.<\/p>\n<p>Una \u00e8 quella di bloccare il dominio nelle impostazioni delle\u00a0<strong>Restrizioni<\/strong>\u00a0in iOS. Per farlo basta abilitare le restrizioni e attivare la voce\u00a0<strong>Limita i contenuti per adulti<\/strong>. \u00c8 necessario poi inserire il dominio nella sezione\u00a0<strong>NON CONSENTIRE MAI<\/strong>.<\/p>\n<p>Naturalmente questa soluzione pu\u00f2 funzionare nel caso in cui conosciamo il link che potrebbe essere usato, per esempio se qualcuno dovesse pubblicare una nuova pagina Web con il codice di chaiOS e si innescasse un passaparola tra chi pensa che sia una buona idea mettere K.O. lo smartphone di un conoscente con un SMS. Il problema, per\u00f2, \u00e8 che\u00a0<strong>se dovesse comparire su un dominio diverso, il filtro non servirebbe a nulla<\/strong>.<\/p>\n<p>Nel caso in cui si ricevesse un messaggio del genere, le soluzioni per uscire dall\u2019empasse sono due:\u00a0<strong>cercare di cancellare il thread di messaggi prima del crash del telefono o eseguire il ripristino alle condizioni di fabbrica, con la conseguente perdita di tutti i dati non memorizzati nel backup<\/strong>.<\/p>\n<p>fonte<\/p>\n<p><a href=\"https:\/\/i0.wp.com\/roccadomenico.it\/wordpress\/wp-content\/uploads\/2018\/01\/screenshot_20180118-1914191565536817.jpg?ssl=1\"><img data-recalc-dims=\"1\" decoding=\"async\" data-attachment-id=\"2124\" data-permalink=\"https:\/\/roccadomenico.it\/wordpress\/chaios-iphone-va-blocco\/screenshot_20180118-1914191565536817\/\" data-orig-file=\"https:\/\/i0.wp.com\/roccadomenico.it\/wordpress\/wp-content\/uploads\/2018\/01\/screenshot_20180118-1914191565536817.jpg?fit=677%2C692&amp;ssl=1\" data-orig-size=\"677,692\" data-comments-opened=\"1\" data-image-meta=\"{&quot;aperture&quot;:&quot;0&quot;,&quot;credit&quot;:&quot;&quot;,&quot;camera&quot;:&quot;&quot;,&quot;caption&quot;:&quot;&quot;,&quot;created_timestamp&quot;:&quot;0&quot;,&quot;copyright&quot;:&quot;&quot;,&quot;focal_length&quot;:&quot;0&quot;,&quot;iso&quot;:&quot;0&quot;,&quot;shutter_speed&quot;:&quot;0&quot;,&quot;title&quot;:&quot;&quot;,&quot;orientation&quot;:&quot;0&quot;}\" data-image-title=\"screenshot_20180118-1914191565536817.jpg\" data-image-description=\"\" data-image-caption=\"\" data-large-file=\"https:\/\/i0.wp.com\/roccadomenico.it\/wordpress\/wp-content\/uploads\/2018\/01\/screenshot_20180118-1914191565536817.jpg?fit=677%2C692&amp;ssl=1\" class=\"aligncenter size-full wp-image-2124\" src=\"https:\/\/i0.wp.com\/roccadomenico.it\/wordpress\/wp-content\/uploads\/2018\/01\/screenshot_20180118-1914191565536817.jpg?resize=677%2C692&#038;ssl=1\" alt=\"apple\" width=\"677\" height=\"692\" srcset=\"https:\/\/i0.wp.com\/roccadomenico.it\/wordpress\/wp-content\/uploads\/2018\/01\/screenshot_20180118-1914191565536817.jpg?w=677&amp;ssl=1 677w, https:\/\/i0.wp.com\/roccadomenico.it\/wordpress\/wp-content\/uploads\/2018\/01\/screenshot_20180118-1914191565536817.jpg?resize=293%2C300&amp;ssl=1 293w\" sizes=\"(max-width: 677px) 100vw, 677px\" \/><\/a>0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/section>\n","protected":false},"excerpt":{"rendered":"<p>&nbsp; Basta un SMS con un link per mandare in crash il sistema operativo dello smartphone. E non serve nemmeno che la pagina venga aperta\u2026 Per il momento non si \u00e8 scatenato il passaparola e i casi di attacchi di questo tipo si contano sulle dita di una mano. Il rischio, per\u00f2, \u00e8 che nei [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2124,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[30],"tags":[33],"class_list":["post-2122","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-informatica","tag-informatica"],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/roccadomenico.it\/wordpress\/wp-content\/uploads\/2018\/01\/screenshot_20180118-1914191565536817.jpg?fit=677%2C692&ssl=1","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/posts\/2122","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/comments?post=2122"}],"version-history":[{"count":3,"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/posts\/2122\/revisions"}],"predecessor-version":[{"id":2126,"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/posts\/2122\/revisions\/2126"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/media\/2124"}],"wp:attachment":[{"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/media?parent=2122"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/categories?post=2122"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/roccadomenico.it\/wordpress\/wp-json\/wp\/v2\/tags?post=2122"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}