LinkedIn. Lynda
Ang isang malayuan na mapagsamantalang kahinaan na natagpuan na nakakaapekto sa 600 milyong mga gumagamit ng WhatsApp noong 2014 at kahit na higit pa at mula pa noon sa pamamagitan ng pagdudulot ng malayuang pinasimulan na mga pag-crash ng system ay muling lumitaw sa isang bagong form. Ang mga bersyon ng mobile application ng LinkedIn na 9.11 at mas luma para sa iOS ay natagpuan na naglalaman ng isang kahinaan ng pagkakapagod ng mapagkukunan ng CPU na maaaring ma-trigger ng input na ibinigay ng gumagamit.
Ang kahinaan ay nagmumula sa katotohanang ang filter ng mobile application ng input na ibinibigay ng gumagamit ay hindi nakakakita ng nakakahamak o nakakaguluhang pag-input. Kapag ang isang gumagamit ay nagpapadala ng ganoong mensahe sa ibang gumagamit sa application ng LinkedIn, sa pagtingin sa mensahe, nabasa ang script at ang tiningnan na code ay nag-uudyok sa isang pag-overhaul ng CPU na nagsasanhi ng pagkahapo ng pagkahapo.
Ang kahinaan ay natagpuan na nakakaapekto sa operating system na bersyon ng 11.4.1 ng iPhone, pangunahing na-target ang mga iPhone 7 mobile device. Kapag nabasa ang nakakahamak na code sa sistemang ito, nagdudulot ito ng 48 segundo ng oras ng CPU na higit sa 62 segundo na nagkakaroon ng 93% average na CPU. Ang average na CPU na ito ay malayo sa itaas ng 80% na paggamit ng CPU na naputol ng higit sa 60 segundo na sanhi ng pagkapagod ng system at ang kinahinatnan na pag-crash.
Tulad ng nakikita sa WhatsApp, sa sandaling ang code ay tinanggal mula sa pinakahuling linya ng mensahe, titigil ang pag-crash ng CPU. Lumilitaw na ito ang kaso sa mobile application din ng LinkedIn. Upang matigil ang pag-crash ng system sa tuwing susubukan mong ilunsad muli ang application, dapat mong tanungin ang gumagamit na nagpadala sa iyo ng may sira na code upang magpadala sa iyo ng isa pang payak na mensahe upang ang pag-crash ay tumigil. Hindi ito ang pinakamadaling pamamaraan ng pagpapagaan kapag nakatanggap ka ng mga mensahe mula sa mga umaatake na sadyang naghahanap upang pagsamantalahan ang kahinaan na ito upang magdulot sa iyo ng kaguluhan.
Ang kasunod na iskrip nilikha ni Juan Sacco ay bumubuo ng pagkakapagod ng CPU na nagdudulot ng code.
Ang kahinaan na ito ay lumitaw lamang at napansin ng LinkedIn. Ang isang pag-update, patch, o pagpapagaan na nagdedetalye ng payo ay hindi pa inilabas ng firm.
