Исследователь безопасности Кишан Багария (Kishan Bagaria) обнаружил уязвимость в функции iPhone AirDrop, позволяющей пользователям обмениваться файлами между iOS-устройствами.
Эксплуатация уязвимости позволяет многократно отправлять файлы на все ближайшие iPhone, настроенные на прием файлов от любых устройств. При получении файла iOS блокирует экран смартфона, пока пользователь не примет или не отклонит запрос. Но поскольку iOS не ограничивает количество файловых запросов, преступник может продолжать спамить файлами, тем самым блокируя устройство пользователя. Багария также опубликовал PoC-код для данной уязвимости в репозитории на GitHub.
По словам Багария, чтобы остановить атаку можно, например, выйти из зоны действия атакующего устройства, либо отключить AirDrop, Wi-Fi или Bluetooth. Отключить Airdrop также можно с помощью перезагрузки смартфона. Для предотвращения подобных атак исследователь рекомендует включать AirDrop только при необходимости и никогда не устанавливать для функции значение «Все», позволяющее принимать файлы от всех iPhone.
Исследователь сообщил об обнаруженной уязвимости Apple в августе нынешнего года, и компания исправила данную проблему в версии iOS 13.3 , поставив ограничение на число запросов.
Эксплуатация уязвимости позволяет многократно отправлять файлы на все ближайшие iPhone, настроенные на прием файлов от любых устройств. При получении файла iOS блокирует экран смартфона, пока пользователь не примет или не отклонит запрос. Но поскольку iOS не ограничивает количество файловых запросов, преступник может продолжать спамить файлами, тем самым блокируя устройство пользователя. Багария также опубликовал PoC-код для данной уязвимости в репозитории на GitHub.
По словам Багария, чтобы остановить атаку можно, например, выйти из зоны действия атакующего устройства, либо отключить AirDrop, Wi-Fi или Bluetooth. Отключить Airdrop также можно с помощью перезагрузки смартфона. Для предотвращения подобных атак исследователь рекомендует включать AirDrop только при необходимости и никогда не устанавливать для функции значение «Все», позволяющее принимать файлы от всех iPhone.
Исследователь сообщил об обнаруженной уязвимости Apple в августе нынешнего года, и компания исправила данную проблему в версии iOS 13.3 , поставив ограничение на число запросов.