蘋果在本週發表了 iOS 11.4.1 更新,雖然大家的焦點都在新版安全性加強使得執法人員也無法輕易破解 iPhone,不過資安研究員 Patrick Wardle 卻發現這次更新其實還低調修復了一個漏洞。
Wardle 分享,為了「討好」中國政府, iPhone 在系統中擋掉「Taiwan」台灣字樣,以及中華民國國旗 emoji 等台灣相關符號,只要在訊息中輸入或收到台灣字符,就會造成程式強制關閉。
Wardle 曾任美國國家安全局的御用駭客,也是 macOS 和 iOS 領域的資訊安全專家,在分析 iOS 程式碼的同時,他意外發現了這個「有趣的案例」,並在自己的 部落格 寫下了這項發現。他朋友在沒有越獄、系統原裝的 iPhone 上測試的結果,不管是 iMessage、Facebook Messenger、WhatsApp 都無一例外地強制關閉,但他同時也觀察到只有特定區域的 iPhone 才會有這個 bug。
iPhone 舉世聞名的封閉式系統為追查這個 bug 增加了一點挑戰。Wardle 找出造成這個 bug 的空標及錯誤指令,也靠著檢視 iPhone 的還原映像拼湊出部分的程式碼。最後證實他朋友是因為某個偵測 emoji 來分類訊息的程式碼造成錯誤,而且只有區域設定為中國或者語言設定為中文才會發生。以他朋友為例,其手機的地區為美國,首要語言為英文,但次要語言則設定為中文。
Wardle 最後用很簡單的方法暫時解決了讓朋友兩年多來都不能收發「台灣」字詞的問題,只要把地區從美國改成中國再調回美國就一切正常了。
Wardle 也將造成漏洞的可能原因回報蘋果,錯誤編號 CVE-2018-4290,並且已於 iOS 11.4.1 更新中修復。蘋果官方則未針對此事作出任何回應。
▲ 舊版 iOS 漏洞在特定區域設定下,輸入台灣相關字符就會造成強制關閉
※本文授權自INSIDE,原文見此。
