LinkedIn Lynda
ช่องโหว่ที่ใช้ประโยชน์จากระยะไกลซึ่งพบว่าส่งผลกระทบต่อผู้ใช้ WhatsApp 600 ล้านคนในปี 2014 และยิ่งเพิ่มมากขึ้นเรื่อย ๆ นับตั้งแต่นั้นมาจากการทำให้ระบบล่มจากระยะไกลได้ปรากฏขึ้นอีกครั้งในรูปแบบใหม่ พบว่าแอปพลิเคชัน LinkedIn มือถือเวอร์ชัน 9.11 และเก่ากว่าสำหรับ iOS มีช่องโหว่การใช้ทรัพยากร CPU จนหมดซึ่งสามารถทริกเกอร์ได้จากอินพุตที่ผู้ใช้จัดหาให้
ช่องโหว่นี้เกิดขึ้นจากการที่ตัวกรองอินพุตที่ผู้ใช้จัดหาให้ของแอปพลิเคชันมือถือไม่สามารถตรวจจับอินพุตที่เป็นอันตรายหรือมีปัญหาได้ เมื่อผู้ใช้ส่งข้อความดังกล่าวไปยังผู้ใช้รายอื่นบนแอปพลิเคชัน LinkedIn เมื่อดูข้อความสคริปต์จะถูกอ่านและรหัสที่ดูจะแจ้งให้มีการยกเครื่อง CPU ซึ่งทำให้เกิดปัญหาการหมดแรง
ช่องโหว่นี้พบว่าส่งผลกระทบต่อระบบปฏิบัติการของ iPhone เวอร์ชัน 11.4.1 โดยกำหนดเป้าหมายหลักไปที่อุปกรณ์เคลื่อนที่ iPhone 7 เมื่ออ่านโค้ดที่เป็นอันตรายบนระบบนี้จะทำให้ CPU ใช้เวลา 48 วินาทีในช่วง 62 วินาทีซึ่งมีค่าเฉลี่ยของ CPU 93% ค่าเฉลี่ยของ CPU นี้สูงกว่าการใช้งาน CPU 80% ซึ่งถูกตัดออกไปในช่วง 60 วินาทีซึ่งทำให้ระบบอ่อนเพลียและเกิดปัญหาตามมา
ดังที่เห็นใน WhatsApp เมื่อรหัสถูกลบออกจากบรรทัดข้อความล่าสุดความผิดพลาดของ CPU จะหยุดลง สิ่งนี้ดูเหมือนจะเกิดขึ้นในแอปพลิเคชันมือถือของ LinkedIn เช่นกัน ในการหยุดระบบไม่ให้หยุดทำงานทุกครั้งที่คุณพยายามเปิดแอปพลิเคชันขึ้นมาใหม่คุณต้องขอให้ผู้ใช้ที่ส่งรหัสที่ผิดพลาดมาให้คุณส่งข้อความธรรมดาให้คุณเพื่อให้ข้อขัดข้องหยุดลง นี่ไม่ใช่เทคนิคการบรรเทาที่ง่ายที่สุดเมื่อคุณได้รับข้อความจากผู้โจมตีที่จงใจหาช่องโหว่นี้เพื่อทำให้คุณเดือดร้อน
สคริปต์ต่อไปนี้ สร้างโดย Juan Sacco สร้างรหัสที่ทำให้ CPU หมดแรง
ช่องโหว่นี้เพิ่งเกิดขึ้นและ LinkedIn ได้รับแจ้ง บริษัท ยังไม่ได้เผยแพร่คำแนะนำเกี่ยวกับการอัปเดตแพตช์หรือการลดผลกระทบใด ๆ
