Dlatego powinieneś zaktualizować system iOS 13.3 tak szybko, jak to możliwe

Dlatego powinieneś zaktualizować system iOS 13.3 tak szybko, jak to możliwe 1

Apple naprawił krytyczny błąd w iOS 13, który mógł pozwolić każdemu tymczasowo przytłoczyć i zawiesić iPhone'a za pomocą AirDrop.

Błąd został po raz pierwszy wykryty przez inżyniera i badacza bezpieczeństwa Kishan Bagaria, TechCrunch zgłoszone. Bagaria stwierdził, że AirDrop pozwala mu wielokrotnie wysyłać pliki do dowolnego urządzenia, które może je zaakceptować w zasięgu.

Domyślnie iOS blokuje wyświetlanie po otrzymaniu pliku AirDrop, dopóki nie zostanie zaakceptowany lub odrzucony. Ale AirDrop nie ogranicza również liczby plików, które ktoś może wysłać.

Korzystając z wywołania narzędzia AirDrop OpenDrop, Bagaria odkrył, że może łatwo przytłoczyć iPhone'a, wysyłając w kółko duże pliki, skutecznie blokując urządzenie w pętli. Mógł nawet atakować praktycznie każde urządzenie w zasięgu sieci bezprzewodowej.

Technikę tę nazwał „AirDoS”. Jeśli znasz ataki DDoS, wiesz, że „DoS” oznacza „odmowę usługi”. Krótko mówiąc, oznacza to, że użytkownik prawie traci dostęp do swojego urządzenia.

Oczywiście tylko iPhone'y z ustawieniami AirDrop ustawionymi na „Wszyscy” są naprawdę narażeni na ten atak. Na szczęście nie jest to domyślne ustawienie po wyjęciu z pudełka.

Jak wcześniej wspomniano, Apple usunął błąd w iOS 13.3 przez dodanie limitu liczby żądań wysyłania, które można wysłać w krótkim czasie. Ale jeśli jeszcze się nie zaktualizowałeś, Twoje urządzenie jest zagrożone. Jest to tym bardziej niepokojące, że szczegóły ataku są teraz publiczne.

Jeśli nie możesz zaktualizować natychmiast, zalecamy przejście do:

    Settings.General.AirDrop.Set it to Only Contacts.

Z drugiej strony, jeśli komuś uda się wywołać „atak AirDoS” na twoim urządzeniu, naprawdę nie ma łatwego sposobu na złagodzenie go. Wyłączenie Bluetooth działa, ale nie jest to łatwe, ponieważ wyskakujące okienka AirDrop są niezwykle trwałe.

Bagaria zauważa jednak, że wyjście z zasięgu Bluetooth je zatrzyma, więc „po prostu uciekaj”.

Ponieważ nie była to luka w zabezpieczeniach, Apple nie podał wyniku CVE dla błędu. Zamiast tego publicznie to potwierdził (i prace Bułgarii) w części strony z aktualizacjami bezpieczeństwa.