本月早些时候,应用程序开发者 Guilherme Rambo 向 iPhone 用户发出警告:如果你尝试使用“信息”应用向正在使用“信息”应用的人发送音频消息,而该消息恰好包含“Dave and Buster’s”的名称,则该消息将永远无法接收。顺便提一句,“Dave and Buster’s”是美国一家体育酒吧兼餐厅的名字……收件人只会看到几秒钟的“点点点”动画,然后最终会消失。他们永远无法收到音频消息。据《财富》杂志的一篇文章称,“这个问题最初是在播客“搜索引擎”上发现的……”:Rambo 对这一疑点的解释如下。 “当你使用信息应用发送音频信息时,信息中包含音频的转录。如果你把‘Dave and Buster’s’这个名字的发音和普通人平常的发音一样,几乎像一个单词一样,iOS 上的转录引擎就会识别出这个品牌名称,并正确地将其写成‘Dave & Buster’s’(带&符号)。”他开始说道。到目前为止,一切都很好。”[但“&”符号在 HTML/XHTML 中具有特殊含义……] 而且,正如 MacRumors 所说:“解析错误会触发 Apple 的 BlastDoor Messages 功能,该功能可保护用户免受可能依赖于错误解析的恶意消息的侵害,因此最终导致音频消息发送失败。” 为了解开这个谜团,Rambo“将接收设备插入我的 Mac,并在设备收到错误消息后立即捕获了日志。” 他们的最终想法是……由于 BlastDoor 的设计初衷是阻止黑客攻击,而黑客攻击通常依赖于错误的数据解析,因此它会立即停止正在执行的操作并直接失败。这就是导致消息卡在“点点点”状态的原因,最终超时,消息就消失了。从表面上看,这听起来确实像是可以通过错误的音频消息转录来“入侵”某人的 iPhone,但实际上,这个漏洞表明 Apple 的 BlastDoor 机制正在按设计运行。许多错误的解析器可能会接受格式错误的XHTML,但这种解析数据格式的疏忽往往最终会导致安全问题。BlastDoor通过对格式的严格把控,保护了收件人免受此类漏洞的攻击。
在 Slashdot 上阅读更多内容。