LinkedIn. Lynda
2014 yılında 600 milyon WhatsApp kullanıcısını etkilediği ve o zamandan bu yana uzaktan başlatılan sistem çökmelerine neden olarak daha da fazla etkiye sahip olduğu tespit edilen uzaktan yararlanılabilir bir güvenlik açığı, şimdi yeni bir biçimde yeniden ortaya çıktı. İOS için 9.11 ve daha eski LinkedIn mobil uygulama sürümlerinin, kullanıcı tarafından sağlanan girdilerle tetiklenebilen bir CPU kaynağı tükenmesi güvenlik açığı içerdiği tespit edildi.
Güvenlik açığı, mobil uygulamanın kullanıcı tarafından sağlanan giriş filtresinin kötü niyetli veya zahmetli girişi tespit edememesinden kaynaklanmaktadır. Bir kullanıcı LinkedIn uygulamasında başka bir kullanıcıya böyle bir mesaj gönderdiğinde, mesajı görüntüledikten sonra, komut dosyası okunur ve görüntülenen kod, yorgunluk çökmesine neden olan bir CPU revizyonu ister.
Güvenlik açığının iPhone’un işletim sistemi sürüm 11.4.1’i, özellikle iPhone 7 mobil cihazlarını hedeflediği görüldü. Bu sistemde kötü amaçlı kod okunduğunda, 62 saniye üzerinde 48 saniyelik bir CPU süresine neden olur ve bu da CPU ortalamasının% 93'üne neden olur. Bu CPU ortalaması, 60 saniyede kesilen% 80 CPU kullanımının çok üzerindedir ve bu da sistemin bitmesine ve bunun sonucunda çökmeye neden olur.
WhatsApp'ta görüldüğü gibi, kod en son mesaj satırından kaldırıldığında CPU çökmesi durur. LinkedIn'in mobil uygulamasında da durum böyle görünüyor. Uygulamayı her yeniden başlatmaya çalıştığınızda sistemin çökmesini durdurmak için, size hatalı kodu gönderen kullanıcıdan, çökmenin durması için size başka bir düz mesaj göndermesini istemelisiniz. Bu, size sorun çıkarmak için kasıtlı olarak bu güvenlik açığından yararlanmaya çalışan saldırganlardan mesajlar aldığınızda en kolay azaltma tekniği değildir.
aşağıdaki komut dosyası Juan Sacco tarafından oluşturulan kod, CPU tükenmesine neden olan kodu oluşturur.
Bu güvenlik açığı yeni ortaya çıktı ve LinkedIn bunu fark etti. Firma tarafından henüz bir güncelleme, yama veya azaltma ile ilgili ayrıntılı tavsiye yayınlanmadı.
