特定のリンクを含んだメッセージを受け取るだけでiPhoneが暴走するバグ「chaiOS」が見つかる!

ソフトウェア開発者のAbraham Masri氏は17日(現地時間)、iPhoneなどのiOS搭載製品にて特定の文字列を含むURLのリンクをWebブラウザーアプリ「Safari」で開こうとしたり、そのURLを含むメッセージをメッセージアプリで受信すると、フリーズするなどの不具合「chaiOS」を報告しています。

この不具合は最新バージョンのiOS 11.2.2だけでなく、開発者向けベータ版が提供されているiOS 11.2.5でも起こるものの、海外メディアのThe Vergeによると、Appleでは来週中に修正パッチを適用したiOS 11.2.5の開発者向けベータ版をリリース予定だとのこと。

chaiOSではフリーズするだけでなく、設定がリフレッシュされる「リスプリング(Restart SpringBoard)」したり、メッセージアプリがクラッシュしたり、動作が遅くなるなどの症状が発生するということで注意が必要だとしています。


Abraham Masri氏が発表したバグの概念実証は、github.io上でホスティングされた数十万の不要な文字をメタデータとして埋め込まれており、これをメッセンジャーアプリでプレビュー表示すると、バグが発生するといったものでした。

このような巨大なデータを読み込むことで起きるバグは昔から存在しており、chaiOSとは性質が少し違いますが、圧縮ファイルのZIPを悪用した「ZIPボム(高圧縮ファイル爆弾)」などがあります。

analytics-3088958_1280

そのため、chaiOSの発見の知らせを見たときは、何だか懐かしい気持ちになったと同時に、2018年にもなってこんなバグが残っているとは……とも感じました。

また同氏が報告した当初は実際にこのバグを体験できるリンクがあったのですが、Abraham Masri氏が悪用されることを懸念して今では公開停止されています。

tree-3094982_1280

もし、すでにこのバグを悪用したメッセージを受け取っている場合は「設定」→「一般」→「機能制限」→「機能制限を設定」→「Webサイト」→「アダルトコンテンツを制限」→「常に禁止欄のWebサイトを追加」→「対象ドメインを入力」するか、アプリがクラッシュする前に素早くメッセージを削除するか、iPhoneなどをリセットするくらいしか対応できません。

またこの機能制限でブロックする方法は事前にバグを悪用したリンクのドメインをあらかじめ知っていれば対応できますが、あくまで緩和策にしかなりませんし、他の対策方法もあまり現実的ではありません。

そのため、Appleが提供する修正パッチが適用されたiOSがリリースされるまでは、不審なメッセージは開かないようにし、リリース後は速やかにアップデートしたいところですね。

記事執筆:YUKITO KATO


■関連リンク
エスマックス(S-MAX)
エスマックス(S-MAX) smaxjp on Twitter
S-MAX - Facebookページ
iPhone ‘chaiOS’ bug can freeze your phone with a single link - The Verge