LinkedIn. Lynda
En sårbarhet som kan utnyttes eksternt, og som ble funnet å påvirke 600 millioner WhatsApp-brukere i 2014 og enda mer av og på siden da ved å forårsake eksternt initierte systemkrasj, har nå dukket opp i en ny form. LinkedIn mobilapplikasjon versjoner 9.11 og eldre for iOS har vist seg å inneholde et sårbarhet for CPU-ressursutmattelse som kan utløses av input fra brukeren.
Sårbarheten oppstår fra det faktum at mobilapplikasjonens filter av brukerinnleverte innganger ikke er i stand til å oppdage ondsinnede eller plagsomme innganger. Når en bruker sender en slik melding til en annen bruker i LinkedIn-applikasjonen, når man ser på meldingen, leses skriptet og koden som vises, ber om en CPU-overhaling som forårsaker en utmattelseskrasj.
Det er funnet at sårbarheten påvirker iPhones operativsystemversjon 11.4.1, hovedsakelig rettet mot iPhone 7 mobile enheter. Når den ondsinnede koden leses på dette systemet, forårsaker det en CPU-tid på 48 sekunder over 62 sekunder, noe som medfører et gjennomsnitt på 93% av CPU. Dette CPU-gjennomsnittet er langt over 80% CPU-bruk kuttet over 60 sekunder, noe som forårsaker systemutmattelse og påfølgende krasj.
Som sett med WhatsApp, når koden er fjernet fra den siste meldingslinjen, opphører CPU-krasj. Dette ser ut til å være tilfelle også i LinkedIns mobilapplikasjon. For å forhindre at systemet krasjer hver gang du prøver å starte applikasjonen på nytt, må du be brukeren som sendte deg den feilaktige koden om å sende deg en annen vanlig melding slik at krasj stopper. Dette er ikke den enkleste avbøtende teknikken når du mottar meldinger fra angripere som bevisst ønsker å utnytte dette sikkerhetsproblemet for å gi deg problemer.
De følgende skript laget av Juan Sacco genererer CPU-utmattelse som forårsaker kode.
Denne sårbarheten har nettopp dukket opp og LinkedIn har lagt merke til det. En oppdatering, oppdatering eller avbøtende detaljering er ikke gitt ut av firmaet ennå.
