Почему приложение «Сообщения» на iPhone отклоняет голосовые сообщения, в которых упоминается «Dave & Buster’s»?

Ранее в этом месяце разработчик приложений Гильерме Рамбо (Guilherme Rambo) предупредил пользователей iPhone:

Если вы попытаетесь отправить голосовое сообщение через приложение Messages пользователю, который также использует Messages, и это сообщение содержит название "Dave and Buster's", то сообщение не будет доставлено. Если вам интересно, "Dave and Buster's" – это название спортивного бара и ресторана в Соединенных Штатах. Получатель увидит анимацию "точки-точки-точки" в течение нескольких секунд, после чего она исчезнет. Голосовое сообщение он не получит.

Как сообщает статья в Fortune, об этой проблеме впервые сообщили на подкасте Search Engine.

Объяснение Рамбо заключается в следующем: когда вы отправляете голосовое сообщение через приложение Messages, сообщение включает в себя транскрипцию аудио. Если вы произносите название "Dave and Buster's" так, как это обычно произносят, почти как одно слово, то движок транскрипции на iOS распознает название бренда и правильно запишет его как "Dave & Buster's" (с амперсандомом). Пока все хорошо.

Однако, как отмечает MacRumors, амперсанды имеют особое значение в HTML/XHTML. Ошибка разбора запускает функцию BlastDoor от Apple, которая защищает пользователей от вредоносных сообщений, которые могут использовать проблемный разбор данных. В конечном итоге, голосовое сообщение не отправляется.

Чтобы разобраться в этой загадке, Рамбо подключил устройство получателя к своему Mac и захватил логи сразу после того, как устройство получило проблемное сообщение. Его заключительные мысли:

Поскольку BlastDoor был разработан для предотвращения хакерских атак, которые часто полагаются на некорректный разбор данных, он немедленно останавливается и терпит неудачу. Это приводит к тому, что сообщение застревает в состоянии "точки-точки-точки", которое в конечном итоге истекает, и сообщение просто исчезает. Поверхностно, это может показаться способом "взломать" iPhone через плохое транскрибирование аудиосообщения, но на самом деле эта ошибка демонстрирует, что механизм BlastDoor от Apple работает как и задумано.

Многие некачественные парсеры, вероятно, приняли бы некорректно отформатированный XHTML, но именно такая снисходительность при разборе форматов данных часто приводит к проблемам безопасности. Будучи педантичным в отношении форматирования, BlastDoor защищает получателя от эксплойта, который мог бы использовать этот тип проблемы.