bluebit

iOS und macOS betroffen

„Textbombe ChaiOS“ crasht Apple Geräte – So schützt ihr euch

von Robert Klatt •

Über Twitter und Co. wird aktuell ein Link verbreitet, der Macs, iPhones und iPads abstürzen lässt. Was genau passiert und wie ihr euch schützt erfahrt ihr bei uns.


0 Kommentare

Die sogenannte Textbombe wurde inzwischen auf den Namen ChaiOS getauft. Sie kann aktuelle Applehardware per iMessage abstürzen lassen. Sollten Nutzer die Textbombe mit der Nachrichten-App Messages auf ihrem Mac empfangen, stürzt das System umgehend ab. Bei iPhones, iPads und iPods sind die Auswirkungen noch größer. Je nach System kommt es zum Neustart des Homescreens oder in einige Fällen sogar zu einer Crash-Schleife.

Auch das Gerät von dem der Link gesendet wird, stürzt in den meisten Fällen ab. Dies liegt daran, dass die Nachrichten-App des Senders eine Vorschau des Links erstellt. Der Link kann unter iOS und macOS auch Systeme zum Abstürzen bringen, wenn er direkt im Browser geöffnet wird. Betroffen sind neben dem Apple Browser Safari auch Google Chrome und der Open-Source-Browser Chromium.

In der Vergangenheit gab es bereits ähnliche Bugs. iOS Geräte konnten vor etwa einem Jahr zum Absturz gebracht werden, wenn man ihnen über die Nachrichten-App eine bestimmte Emoji-Zeichenkombination gesendet hat. Der Bug wurde nachdem Entdecken zeitnah gepatched. Zuvor gab es im Herbst 2016 ein nur vier Sekunden langes Video, dass durch einen Fehler im Videorenderer iPhones und iPads beim Abspielen zum Einfrieren gebracht hat.

Die nun entdeckte Textbombe kann auf github.io abgerufen werden. Eine erste Analyse ergab, dass ein zu langer Open-Graph-Seitentitel-Tags in WebKit zu einem Rendering-Problem führt. Der Bug ist besonders schwerwiegend, da die Nachrichten-App bei allen aktuellen Apple Geräten automatisch eine Vorschau generiert. Nutzer müssen den Link also nicht anklicken, um einen Absturz auszulösen. Sobald der Link einmal empfangen wurde, hilft es nur noch die komplette Unterhaltung zu löschen, um weiteres Einfrieren zu verhindern. Nutzer müssen dafür entweder sehr schnell sein und die Konversation löschen, bevor die Vorschau erstellt werden kann oder alternativ die Internetverbindung vor dem aufrufen und löschen der Nachricht deaktivieren.

Technisch versierte Nutzer können in den Safari-Restriktionen unter iOS github.io vollständig sperren. Der Link der die Textbombe enthält, kann so nicht mehr aufgerufen werden. Dazu muss in den Einstellungen des Browsers unter „Allgemein“ der Unterpunkt „Einschränkung“ genutzt werden. Beim Punkt „Websites“ wird dann der Punkt „Jugendfreie Inhalte“ gewählt. Dort kann unter „Nie Erlauben“ dann die Webseite „github.io“ eingetragen werden. iOS blockiert, wenn die Option aktiviert wird, automatisch weitere als nicht jugendfrei eingestufte Webseiten. Diese müssen dann einzeln wieder freigegeben werden. Bei Macs kann die selbe Absicherung über „Benutzer & Gruppen“ in die dortige Kindersicherung eingetragen werden.

0 Kommentare

Kommentar verfassen