Apples iOS er tilbøjelig til et problem med navngivning af trådløst netværk, der kan deaktivere en iPhones evne til at oprette forbindelse til et Wi-Fi-netværk.
Opdaget af senior sikkerhedsingeniør hos Ant Financial Light-Year Security Labs Carl Schou, fejlen kan permanent deaktivere iPhones Wi-Fi-funktionalitet efter tilslutning til et kaldet netværk “%p% s% s% s% s% n”. Funktionen forbliver deaktiveret, selv efter genstart af enheden eller ændring af netværkets navn.
Denne underlige sårbarhed kan føre til forskellige konsekvenser, som trusselaktører kunne udnytte det til at plante mistænkelige Wi-Fi-hotspots med “%p% s% s% s% s% n” navn for at beskadige iPhones trådløse funktioner.
Hvor gør “%p% s% s% s% s% n” Wi-Fi-problemet kommer fra?
Problemet stammer fra en strengformateringsfejl på den måde, iOS analyserer SSID-input, oprettelse af en denial-of-service-tilstand. Ifølge en kort teknisk analyse, “For at udløse denne fejl, du skal oprette forbindelse til den WiFi, hvor SSID er synligt for offeret. En phishing-Wi-Fi-portalside kan lige så godt være mere effektiv.”
Gør det “%p% s% s% s% s% n” Wi-Fi-fejl påvirker Android-enheder?
Hidtil, det ser ud til, at problemet ikke kan gendannes på Android-enheder. Hvad angår iPhones, der er berørt, deres ejere skal nulstille deres iOS-netværksindstillinger ved at gå til Indstillinger> Generelt> Nulstil> Nulstil netværksindstillinger og bekræfte handlingen.
I marts, sikkerhedsforskere opdagede, at Automatic Call Recorder, et iOS-opkaldsoptagelsesprogram indeholdt en fejl, der kunne give adgang til brugernes samtaler. Det eneste, der er nødvendigt for at udnytte fejlen, er at angive det korrekte telefonnummer. Sårbarheden blev rapporteret af sikkerhedsforsker Anand Prakash, og er allerede rettet. Selve appen er ret populær blandt iPhone-brugere, rangeret som nummer 15 i Apple Store's Business-kategori. Dens popularitet og udbredte anvendelse kan gøre bugens påvirkning betydelig.
Kort sagt, denne fejl kunne gøre det muligt for trusselsaktører at aflytte brugernes opkaldsoptagelser fra appens skyopbevaringsskovl. Et uautentificeret API-slutpunkt lækkede URL'en til skylagring.